Помогите, пожалуйста, избавиться от zonetech.info/82.exe, dfwin.exe, LBTW.exe, mwau.exe и вернуть компьютер в нормальное состояние

Printable View

21.09.2009, 11:02
stress

Помогите, пожалуйста, избавиться от zonetech.info/82.exe, dfwin.exe, LBTW.exe, mwau.exe и вернуть компьютер в нормальное состояние

c:\RECYCLER\S-1-5-21-7319233450-2936121267-166107555-5882\
mwau.exe
AVZ утверждает, что этот файл подменяет диспетчер задач.
Удалить файл невозможно ни в обычном, ни в безопасном режиме.

c:\WINDOWS\system32\
01.scr
15.scr
41.scr
52.scr
54.scr
61.scr
70.scr
73.scr
74.scr
76.scr
78.scr
81.scr
88.scr
и т.п.
AVZ обнаруживает в этих файлах Trojan.Win32.Scar.rfv и удаляет, Avast ничего не видит.
При удалении руками файлы после подключения к интернету снова появляются через какое-то время. Экран при этом почему-то моргает, оформление диспетчера задач (постоянно) и панели задач (на краткое время) становится как в Windows 95 или 3.1. Кажется, появляется на краткое время какой-то новый процесс, но какой именно - определить не удалось.

c:\WINDOWS\system32\drivers\
dfwin.exe
LBTW.exe
При удалении руками файлы после подключения к интернету снова появляются через какое-то время, а в диспетчере задач появляются соответствующие процессы...

c:\WINDOWS\
iexplorer7.exe
При удалении руками файл после подключения к интернету снова появляется через какое-то время, а в диспетчере задач появляется соответствующий процесс...

На карточке фотоаппарата появляются две неудаляемые "корзины", в одной из них был LBTWi.exe, удалён руками. Этот же файл был ранее удалён с диска C (из каталога c:\WINDOWS\system32\drivers\).

Avast периодически блокирует подключение к вредоносному сайту zonetech.info/82.exe

Firexox время от времени спонтанно "выбрасывается" на неизвестные сайты, например, winfixscanner2.com/scan1/?pid=199&engine=p3T40TTuMzA5LjE1Ny4yMTcmdGltZT0xMjUxNEUOPAVM

Truecript иногда перестаёт "узнавать" свои пароли, после перезагрузки проблема исчезает.

Помогите, пожалуйста!
21.09.2009, 12:43
DefesT

Обновите базы AVZ.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Q:\autorun.inf','');
QuarantineFile('C:\WINDOWS\iexplorer7.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7319233450-2936121267-166107555-5882\mwau.exe','');
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\ASFWHide','');
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pxsec.sys','');
DeleteService('esihdrv');
DeleteService('catchme');
SetServiceStart('ASFWHide', 4);
DeleteService('ASFWHide');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\ASFWHide');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-7319233450-2936121267-166107555-5882\mwau.exe');
DeleteFile('C:\WINDOWS\iexplorer7.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\pxsec.sys');
DeleteFile('Q:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Очистите темп папки. Сделайте новые логи по правилам
21.09.2009, 15:23
stress

Вложений: 3

Что следует делать дальше?

Огромное спасибо за быстрый ответ!!!

Всё сделал, карантин отправил, логи в приложениях.

В отчёте AVZ насторожили две вещи:

1) "Подмена диспетчера задач"

2) Функция NtQuerySystemInformation (AD) перехвачена (8057D666->F7EBA486), перехватчик C:\DOCUME~1\admin\LOCALS~1\Temp\ASFWHide (но ни каталога, ни файла такого в системе уже нет, если верить тотал-коммандеру).

Что следует делать дальше?
21.09.2009, 16:17
PavelA

ASFWHide - от Аваста

Да, и еще два а/вируса это много. Вижу Аваста и Касперского.
21.09.2009, 20:04
stress

Понятно.

Постоянно пользуюсь Авастом: он легально-бесплатный.

Касперского добавил, когда при работающем Авасте завелись эти "вирусы", но и он тоже ничего не выловил.

Спасибо большое за помощь!

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Оппаньки!! Аваст снова выдал сообщение "заблокировано соединение с вредоносным сайтом zonetech.info/82.exe". Кто ж туда лезет-то с моего компьютера??? С момента отправки логов (14:23) и до сих пор компьютер был выключен...

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Нашёл наконец-то, кто:
21.09.2009 19:00:05 Network Shield: blocked access to malicious site zonetech.info/82.exe [ C:\WINDOWS\System32\svchost.exe ( 1452 ) ]

Посоветуйте, что делать, чтобы остановить эти попытки соединения с опасным сайтом?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

В каталоге "c:\WINDOWS\system32\drivers\" опять появился микроб dfwin.exe
И процесс соответствующий в диспетчере задач...
21.09.2009, 21:09
PavelA

Логи повторите.
21.09.2009, 21:27
stress

Вечерние логи

Повторяю...
21.09.2009, 21:53
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('esihdrv', 4);
DeleteService('esihdrv');
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys','');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
21.09.2009, 23:03
stress

Скрипт выполнил, карантин отправил, логи сделал.
21.09.2009, 23:09
stress

Опять появился файл
c:\RECYCLER\S-1-5-21-6513888685-0194665170-947673283-4084\mwau.exe

Удалить его невозможно :(
21.09.2009, 23:15
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\dfwin.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6513888685-0194665170-947673283-4084\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-6513888685-0194665170-947673283-4084\mwau.exe');
DeleteFile('C:\WINDOWS\system32\drivers\dfwin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

В папке [B]system32[/B] поищите scr-файлы с цифровым началом и, если найдутся, удаляйте смело
Нужно срочно устанавливать обновления на систему. Начать лучше с установки SP3 (может потребоваться активация)

Сделайте новые логи
23.09.2009, 21:11
stress

Спасибо!!! Буду искать обновления...
26.09.2009, 19:13
stress

Установил обновления (SP3 и postSP3), сделал новые логи. Проверьте их, пожалуйста.
26.09.2009, 22:22
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7646273323-5996349366-150279564-2740\mwau.exe','');
TerminateProcessByName('c:\windows\mslsrv32.exe');
QuarantineFile('c:\windows\mslsrv32.exe','');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7646273323-5996349366-150279564-2740\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
27.09.2009, 00:33
stress

Всё сделано. Логи во вложениях.
27.09.2009, 03:06
Bratez

Больше ничего плохого не видно.
Что с проблемами?
28.09.2009, 14:35
stress

На данный момент всё хорошо.
Спасибо большое за помощь!
29.09.2009, 14:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7319233450-2936121267-166107555-5882\mwau.exe - [B]Trojan.Win32.Buzus.caco[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2467830, AVAST4: Win32:Trojan-gen )[*] c:\recycler\s-1-5-21-7646273323-5996349366-150279564-2740\mwau.exe - [B]Trojan.Win32.Inject.ajfn[/B] ( DrWEB: Trojan.Packed.154, BitDefender: Worm.Generic.89330, NOD32: Win32/Peerfrag.DY worm, AVAST4: Win32:Trojan-gen )[*] c:\windows\mslsrv32.exe - [B]Net-Worm.Win32.Kolab.eaq[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190 )[/LIST][/LIST]