Трехголовая гадина. ПОМОГИТЕ!!!

Printable View

09.08.2008, 20:23
Jekot

Трехголовая гадина. ПОМОГИТЕ!!!

Моя тачка старая (AMD K6-333, RAM-192Mb, 8Gb-HDD), если проникает зараза сразу заметны тормоза.

Давно меня ничто так не тревожило.

Без доступа к инету несколько прог хотят достучаться до сайтов.
С нервозной частотой, каждые ~10сек. Начал рыть винду XP.
Ручками нарыл две сволочи: csrcs.exe & runmgr.exe
Последняя более продвинута и время от времени появляется после удаления двух ее копий и загрузочного .bat файла.

Немогу найти основу, корень проблем и третюю гадину.
Каспер невидит, фаирвол-все ок (не ловит посторонии пронивновения наружу). AVZ - непомогает.
По ссылке куда хочет третяя сволоч (shop.hostswiss.com) вышел на
McAffe- якобы в его архивах проходил вирусняк из семейства Pinch, который лез на указанный сайт. Поставил последнюю версию - McAffe -ничего. У всех, все OK.

Сейчас без инета вирус пытается лезть на shop/hostswiss.com, подключение инета иногда сопровождается постоянной перезагрузкой explorer.exe

Помогите! Кто чем может. Перестановка Винды не катат.
Времени нет все бэкапить и хочется найти вирус.
09.08.2008, 20:27
Rene-gad

[QUOTE=Jekot;265656]AVZ - непомогает.[/QUOTE]Угу, им гвозди забивать не получается. А вот правила выполнить - запросто: читаем и делаем [url]http://virusinfo.info/showthread.php?t=1235[/url]
09.08.2008, 20:51
Jekot

Вложений: 1

Извиняюсь за невнимательность

Извиняюсь за невнимательность, третий день борюсь. Тачка тормозит.
Прикрепил лог AVZ. Пытался лечить системные файлы, пункты номер 9 и 16. Так как explorer.exe выдает системную ошибку и перегружается.
Раньше всегда explorer.exe перегружался. Когда снес 2 вируса, стал перегружаться когда есть доступ к инету и то не всегда. Бывает Только доступ дал, минут 5 перегружается потом перестает.
09.08.2008, 20:58
wise-wistful

Вы всё ещё не очень внимательно почитали, какие логи АВЗ нам нужны.
09.08.2008, 21:26
Rene-gad

Если Вы в течение следуюших 30 минут не сделаете логи по правилам - тема будет закрыта.
10.08.2008, 00:46
Jekot

Вложений: 3

Я выполнил все пункты, это было не просто.

Опять вылез runmgr.exe Ктото его поднимает. Я убивал 2 его копии и .bat-загрузчик, удалял его из автозагрузки и все равно он опять появляется.
10.08.2008, 01:04
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\ASFWHide','');
QuarantineFile('D:\WINDOWS\System32\runmgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe','');
QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');
DeleteService('acw0q72kp1eikfukiwcfhrig');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('D:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe');
DeleteFile('D:\WINDOWS\System32\runmgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=27816[/url]

Обновите базы АВЗ и повторите логи.

[quote]Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/quote]

Однако я бы на Вашем месте задумался и установил SP 3 на Windows - скорее всего потребуется повторная активация, т.к. у Вас не установлены никакие SP для Windows и Internet Explorer необходимо обновить до v7.00
10.08.2008, 01:24
Jekot

Выслал карантин

СП3? ИЕ 7.7 ??? на таком старом железе? Я поседею на такой тачке ;)
Хороший у Вас сервис. Помогло бы........:(
10.08.2008, 01:31
wise-wistful

Конечно, если железо Вашего компьютера не потянет - то да, но с такой системой тяжело с вирусами бороться, уж больно много дыр в системе.
10.08.2008, 01:40
Jekot

мдаааа......

Я проработал на этой системе и тачке год без переустановки, все было ОК. Инет безлим-сеть. Потом гдето месяц не выходил в Инет в связи с переездом на другую квартиру. И цепанул где-то эту срань. Начала она вонять еще до появления инета. А теперь и вовсе обнаглела. Если негде не лазить по сайтам, трафик потихоньку растет.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

и 10 процентов процца жрет.
Сами понимаете на таком динозавре 10процентов, это вечность.
Вот я и обеспокоился. Неужели чтобы содержать свой комп в рабочем состоянии нужно быть хакером или сисадмином, что в принцыпе рядом.
10.08.2008, 02:26
Jekot

Вложений: 3

Обнавил АВЗ + повторные логи

Обнавил АВЗ + повторные логи
10.08.2008, 02:39
wise-wistful

[quote] >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[/quote]
Это не совсем хорошо. Если не Вы делали - тогда в АВЗ--файл--Мастер поиска и устранения проблем решите эту проблему.

по карантину System32\runmgr.exe - [b]Trojan.Win32.Pakes.kaw[/b], RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe - [b]Backdoor.Win32.IRCBot.eqq[/b]

Проблемы какие- то наблюдаются?
10.08.2008, 02:49
Jekot

В диспетчере задач этих не вижу. С Актив-х разберусь.
[LEFT]Беспокоит, то что в D:\Document and setting\Администратор лежит runmgr.bat & runmgr.exe.
Он снова может появится. А что за червь? сильно жестокий?
С бэкдором конечно страшно :-[]
[/LEFT]
10.08.2008, 02:53
wise-wistful

[b]runmgr.bat & runmgr.exe[/b] поместите эту парочку в архив под пароль virus и вышлите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=27816[/url]
10.08.2008, 02:57
Jekot

система вроде стабилизировалась

система вроде стабилизировалась, explorer.exe не перегружается и заметных тормозов нет. А корень заразный можно найти. Откуда они лезут? Посидеть без Инета 2 дня - понаблюдать. Может Поюзать проги и посмотреть после какой гадлсти вылезут?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Просто ТоталКомандером пакануть с паролем на архиве?
10.08.2008, 03:01
wise-wistful

главное в rar или zip архив и установите пароль virus.

[quote]А корень заразный можно найти. Откуда они лезут? Посидеть без Инета 2 дня - понаблюдать. Может Поюзать проги и посмотреть после какой гадлсти вылезут?[/quote]

Вы в этот промежуток времени не ставили какие-то программы? Может на диске каком бригада находится.
10.08.2008, 09:47
Jekot

Download

rar не взял, я перепак. в zip и выслал.
Проги ставил конечно, с нета для своей КПК Sony

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Как вирусы актив. не ставил ничего кроме антивирей - подбирал.
Как стал лечить с Вами ничего не ставил, кроме того что вы говорили сделать.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 27 минут[/I][/B][/color][/size]

Можно эти два файла удалить из Document and Setting\Администратор.
Хотел бы узнать, не активируется ли вирус в момент выбора его и удаления обычными средствами (проводник, тоталКомандер)???
22.02.2009, 07:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\reg32.exe - [B]Backdoor.Win32.IRCBot.eqq[/B] (DrWEB: BackDoor.IRC.Flood.8)[*] d:\\windows\\system32\\runmgr.exe - [B]Trojan.Win32.Pakes.kaw[/B] (DrWEB: Trojan.Click.19764)[*] \\runmgr.exe - [B]Trojan.Win32.Pakes.kaw[/B] (DrWEB: Trojan.Click.19764)[/LIST][/LIST]