Дочистка системы после самолечения

Поймал вчера мыша, z-connect (он же i-connect) называется: ни с того ни с сего стало у меня соединение с нэтом пропадать каждые пару минут, а с мобилы (я через GPRS сидел) вызов на странный номер попытался пройти. Да и фаервол сказал, что кто-то с компа хочет в инет вылезти. Полез я в сетевое окружение, а там какие-то странное соединение появилось - z-connect. Антивирусы (AVG и AVZ) со свежими базами ничего не видят.

Полез я по сайтам, почитал. Говорят BackDoor.Poison.767 или Win32/Dialer.NGB. Решил попробовать разобраться собственными силами.

Вычислил с помощью Диспетчера процессов этого гада (я все эти процессы в лицо знаю! ;-)))) и отключил. Потом посмотрел что у меня прописалось в автозагрузке. Убил лишний путь и программулину, которую он засунул аж в system32. Потом прошелся по корням дисков. В системном нашел абракадабру в корне успешно маскирующуюся под AI и заархивировал - для опытов. Первоисточник убил.
На флешке нашел авторун и исполняемые файлы в RECYCLER - уничтожил. Почистил RECYCLER на остальных дисках. Удалил временные файлы, почистил корзину и реестр.



Вроде бы все проявления пропали. Но не знаю - может быть что-то упустил? Прикрепляю логи, жду совета от хэлперов...


[I]З.Ы.: Один мегабайт у меня - в районе 2 рублей, поэтому не все могу приложить...Может что забыл отключить...[/I]

Восстановление системы отключить.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\dropcpyr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w161.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Secrun.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.

Зверька отсюда удалить, а загружать через карантин AVZ.

Выполнил. Весь карантин занимает 160 метров, заподозренные им файлы 78 метров (кстати, странные у него вкусы...), поэтому я вручную выделил те, что мне лично незнакомы и отправил.
Не понял как загрузить зверька...

Поиск по диску в AVZ. Если найдется, то добавить в карантин. Далее все стандартно. Можно его отдельным файлом послать.

Файл с карантинными сохранён как 090825_145100_virus_4a93c2145e0b1.zip
Размер файла 1848473
MD5 afabdaf05dc1f97b6a583db36a07b237


А зверек у меня в 7z запакован. Его распаковать что ли?

[QUOTE=Алексей Дёменко;455657]Его распаковать что ли?[/QUOTE]Желатльно распаковать и прислать по правилам: АВЗ/Сервис/Поиск файла, найти, отметить, нажать Доабвить в карантин, потом по приложению 3 правил - так получится автоматически правильно и с паролем.

Вирус я вроде бы как все же удалил, а остатки AVZ подчистил. Прикрепляю новые логи. Зверька отправил как полагается. Приложил к нему еще драйвер от скринсервера, который меня подозрительно много раз выбрасывал в синий экран. Мож тоже вирус какой...

Надеюсь AVZ впредь будет самостоятельно находить и уничтожать подобный вирус)

[QUOTE=Алексей Дёменко;455945]
Надеюсь AVZ впредь будет самостоятельно находить и уничтожать подобный вирус)[/QUOTE]Такого не будет никогда: АВЗ не явлется антивирусной программой :)


Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\Secrun.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w161.tmp','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w161.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\Secrun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Соединений новых более не появляется, но на флешках в папке RECYCLER появляется вирусный файл+авторуны в корне. Есть подозрение, что это из-за некоего файла LBTWiz.exe который поселился в папке WINDOWS\system32\drivers\ и прописался в автозагрузке. Когда я его отрубаю - на флешках вирус можно удалить и он не появляется снова. И вроде бы он рвался в инет, когда произошло заражение..Хотя вроде бы он определяется как имеющий отношение к блютусу
Хотя антивирусы этот файл не видят. На всякий случай выпнул его из автозагрузки и отослал вам как положено.

Что с ним делать? Уничтожить или пусть живет?

З.Ы.: Логи прикрепляю

C:\WINDOWS\system32\drivers\LBTWiz.exe - [B]Net-Worm.Win32.Kolab.drc[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\LBTWiz.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

Сделал все как вы сказали. Запустил скрипт, перезагрузился. Потом проверил систему двумя антивирусами, все найденое подчистил, удалил кэши, темпы, куки и прочий мусор, очистил корзину. Затем сделал логи, прилагаю.

Кроме того, AVZ несколько раз уже подозревает файл InstActivation.dll, лежащий в папке Program Files\InterVideo\Common\Bin\ как вирус Hoax.Win32.Renos.dp. Отправил его по инструкции. Удалять или оставить?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\87012QDW\xx9[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\A6W5G2NS\g[1].exe','');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

По присланному файлу вердикта пока нет.

Видимо вирус очень устойчив к лечению...

Выполнил все, что вы сказали. После чистки еще пять часов проверял все диски программой AVG на всякий случай.

Отправил карантин, прикрепив к нему еще подозрительный файл Crypserv.exe из C:\WINDOWS\system32\ Отправил отдельно, потому что в карантин он не захотел. Пароль virus

З.Ы.: BlogMygorod.exe о котором говорится в отчете mbam - это прога, которая у меня уже года три и к вирусу этому она отношения иметь не может))

Файл чистый. В логах ничего подозрительного.
Что с проблемой?

Проблема вроде бы нейтрализована, хотя точно не уверен.. По крайней мере разрыва соединения с созданием нового не происходит. Флешки вроде тоже не заражаются.
Единственный вопрос: на всех дисках в корзине (RECYCLER) в папке с рандомным названием постоянно лежит два файла - desktop.ini и INFO2 (хотя корзина пуста). Это нормально? На всякий случай добавил их в карантин и отослал вам по ссылке. Если они в порядке - значит, наверное, все вылечено..

Дополнительно еще скачал свежий Dr. Web CureIt! он нашел и удалил вирус Trojan.DownLoad.42422 в \WINDOWS\system32 - выполнимый файл с названием i.

[QUOTE]Дополнительно еще скачал свежий Dr. Web CureIt! он нашел и удалил вирус Trojan.DownLoad.42422 в \WINDOWS\system32 - выполнимый файл с названием i.[/QUOTE]
Это вполне закономерно, дочистил остатки.

Ну раз все ОК, значит вылечено.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\рабочий стол\t9d2a1l6q2e1\t9d2a1l6q2e1.exe - [B]Trojan.Win32.VB.uqp[/B] ( DrWEB: Dialer.Siggen.121, BitDefender: Trojan.Generic.2325320, AVAST4: Win32:Dialer-gen [Trj] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\a6w5g2ns\g[1].exe - [B]Net-Worm.Win32.Kolab.drc[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Kolab.C, NOD32: Win32/AutoRun.IRCBot.CA worm, AVAST4: Win32:Trojan-gen {Other} )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\87012qdw\xx9[1].exe - [B]Net-Worm.Win32.Kolab.drb[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Generic.2322145, NOD32: Win32/AutoRun.IRCBot.BZ worm, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\lbtwiz.exe - [B]Net-Worm.Win32.Kolab.drc[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Kolab.C, NOD32: Win32/AutoRun.IRCBot.CA worm, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]