BuckDoor.Siggen.917

Добрый день!
Господа, помогите "полному пользователю" (если можно, то пошагово) победить зловредных зверушек, заведшихся на компе.
Суть проблемы: Др.Веб 5.0 при скане определяет кучку из 20.000 файлов и определяет их, как зараженных BuckDoor.Siggen.917. При попытке вылечить/удалить - пишет, что вылечить невозможно, удалено. Но по факту этого не происходит, при повторной проверке файлы (расширение exe и scr) выявляются вновь. Группируются они в основном в двух папках (Recycle System Volume Information) на каждом из 3-х диcков. В папках они не видны, хотя подключена функиция показывать скрытые файлы/папки, но при просмотре "свойства" показывается из объем и количество. Попытка удалить папки целиком не удается, пишет, что выполняется действие или нет доступа. Зверушки имеются также в папке Windows.
При проверке по условиям даннного форума avz нашел также Trojan-Downloader.Win32.Agent.zje. Написал, что удалил.
Помогите, люди добрые, избавиться от заразы и не переустанавливать Винды!!!
Заранее спасибо!
SW

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(14);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\ulr.exe','');
DeleteFile('C:\ulr.exe');
QuarantineFile('E:\Сканер\utkqn.exe','');
QuarantineFile('E:\Отпуск_2008\Италия\pfhdagb.exe','');
QuarantineFile('E:\Отпуск 2009\билеты\sacs.exe','');
QuarantineFile('E:\Заяц_М\uy.exe','');
QuarantineFile('E:\Архивы для графики\ti.exe','');
QuarantineFile('C:\ScanPanel\TMPText\dauyv.exe','');
QuarantineFile('C:\Intel\Logs\uurnkfx.exe','');
QuarantineFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe','');
QuarantineFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe','');
DeleteFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe');
DeleteFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe');
DeleteFile('C:\Intel\Logs\uurnkfx.exe');
DeleteFile('C:\ScanPanel\TMPText\dauyv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc','EventMessageFile');
DeleteFile('E:\Архивы для графики\ti.exe');
DeleteFile('E:\Заяц_М\uy.exe');
DeleteFile('E:\Отпуск 2009\билеты\sacs.exe');
DeleteFile('E:\Отпуск_2008\Италия\pfhdagb.exe');
DeleteFile('E:\Сканер\utkqn.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Диски открыты для доступа по сети?
Пароли на учетные записи пользователей с правами администратора надежные стоят?

[QUOTE=AndreyKa;479554]Диски открыты для доступа по сети?
Пароли на учетные записи пользователей с правами администратора надежные стоят?[/QUOTE]

Добрый день!

Диски открыты для доступа по сети?
- Ситуация такая: есть локальная сеть - компьютер+ноутбук. Для нее диски открыты.
Вдобавок к этому комп подсоединен через роутер к локальной сети провайдера. На роутере пароль.

Пароли на учетные записи пользователей с правами администратора надежные стоят?
- На компьютере 2 пользователя - общий "юзер" без пароля и запароленный основной пользователь. Сегодня, запустив в безопасном режиме, узнал, что есть еще адимнистратор без пароля.

Пришлите файлы из карантина.
-Если я правильно понял, то в карантине файлов нет :O

Сделайте новый лог.
-Приложение

Спасибо!

[QUOTE='sw(ws);479543']Др.Веб 5.0 при скане определяет кучку из 20.000 файлов [/QUOTE]А SpiderGuard в процессе работе ничего не ловит?
Либо ноутбук заражен этой гадостью, либо роутер не правильно настроен.

Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
DeleteFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe');
DeleteFile('C:\Intel\Logs\uurnkfx.exe');
DeleteFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe');
DeleteFile('C:\ScanPanel\TMPText\dauyv.exe');
DeleteFile('C:\ulr.exe');
DeleteFile('C:\ulrnfx.exe');
DeleteFile('E:\Архивы для графики\ti.exe');
DeleteFile('E:\Заяц_М\uy.exe');
DeleteFile('E:\Отпуск 2009\билеты\sacs.exe');
DeleteFile('E:\Отпуск_2008\Италия\pfhdagb.exe');
DeleteFile('E:\Сканер\utkqn.exe');
DeleteFile('c:\Program Files\Bonjour\mDNSResponder.exe');
ExecuteSysClean;
end.
[/code]
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[QUOTE=AndreyKa;479618]А SpiderGuard в процессе работе ничего не ловит?
Либо ноутбук заражен этой гадостью, либо роутер не правильно настроен.[/QUOTE]

Ноут вполне может быть заражен, но он не работал в системе с компом уже месяца три. Полная клиническая кратина следующая:
В авусте подцепил гадость, название уже не помню - самоплодящиеся файлы расширением exe и scr, все объемом около 450кб. Названия имели вид a an anc ancr и т.д.. Плодились во всех папках. Ни ДрВеб, ни Нод32 не определяли эти файлы как вирус. При помощи Anvirrus нашел и остановил процесс воспроизведения и стер (большинство?) файлов вручную. Проверка в сентябре новым ДрВебом дала ОК.
Дня два назад комп в заснужшем состоянии начал верещать. СпайдерГайд показал, что файл, такого же вида как и ранее встречавшиеся, заражен гадостью, указанной в заголовке. При тотальном сканировании выясгнилось, что файлом много, причем файлов ранеевстречавшегося вида - меньшенство, а большинство - вида а00хххх, где хххх - возрастающие порадковые номера. Расширения также exe и scr, и кучкуются они в нескольких папках, доступ к которым закрыт. ДрВеб определяет их как вирус, пишет, что удалил, но на деле этого не происходит.
Новый лог в аттаче.
SW
ЗЫ. Еще один ламерский вопрос - при сканировании АВЗ надо типы сканирования файлов оставлять по умолчанию (потенциально опасные) или менять на все?

Длинная история.
[QUOTE='sw(ws);479669']большинство - вида а00хххх, где хххх - возрастающие порадковые номера. Расширения также exe и scr, и кучкуются они в нескольких папках, доступ к которым закрыт. [/QUOTE]
Так называются файлы - копии, которые хранит служба восстановления системы.
Раз их было много, значит заражение произошло давно и детектироваться файлы начали после обновления баз антивируса.
[QUOTE='sw(ws);479669']при сканировании АВЗ надо типы сканирования файлов оставлять по умолчанию (потенциально опасные) или менять на все? [/QUOTE]Делать надо по инструкции - там этого нет.
В логе чисто. Когда был последний сигнал от антивируса о BackDoor.Siggen.917?

Последний сигнал от СпайдерГарда был вчера, когда боролся самостоятельно. Сегодня не было. Сейчас проверил папки, где были а00 - чисто. В папке ДрВеб/Карантин - 7200 файлов, помеченных как зараженных БэкДор. При попытке в ДрВэбе выделить все-удалить, ДрВэб подвисает и не отвечает. Как можно удалить эти файлы из карантина, а то их более 3гб?
Еще раз Вам огромное спасибо за помощь!!!
С уважением,
SW

Отключите самозащиту DrWeb.
Удалите карантин вручную.

Вроде бы получилось.
Спасибо Вам, о, Мудрый Ка, огромное!!!
С уважением,
SW

О, мудрый Ка, глупый бандерлог сделал что-то не так. После предложенного Вами лечения папки очистились, но на следующий день ситуация повторилась: когда компьютер засыпает, спустя какое-то время СпайдерГард выдает тревогу, пишет, что в С:\\System Volume Information\_restore... обнаружены файлы a00...порядковый номер scr. или exe., зараженный BuckDoor.Siggen.917. Определяет сразу кучку файлов. Делает вид, что уничтожает. При тотальной проверке в этой же папке Др.Веб в этой папке также обнаружил кучку таких же файлов и сделал вид, что удалил их. Но мне кажется, что это удаление условное.
О, мудрый Ка, не дай пропасть в неравной борьбе с вирусом!
Заранее спасибо!
SW

Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл c:\avz_log.txt

Выполнил.

Установите обновления безопасности на Windows.
Лучше начать с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация).

[QUOTE=AndreyKa;483791]Установите обновления безопасности на Windows.
Лучше начать с [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL] (может потребоваться активация).[/QUOTE]

Извините за глупый вопрос, а для установки обновления наличие м-м-м... лицензионного виндоуза... обязательно? ;)

Если нет лицензии:
Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии:
[B]Обновление безопасности IE или Windows XP[/B]
Начнется загрузка. После того как она закончится установите загруженные обновления.

[QUOTE=AndreyKa;483800]Если нет лицензии:
Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии:
[B]Обновление безопасности IE или Windows XP[/B]
Начнется загрузка. После того как она закончится установите загруженные обновления.[/QUOTE]

Слаб. Выполнил до "уведомлять, но не загружать", но список обновлений не загружается :(

[QUOTE=AndreyKa;483800]Если нет лицензии:
Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии:
[B]Обновление безопасности IE или Windows XP[/B]
Начнется загрузка. После того как она закончится установите загруженные обновления.[/QUOTE]

Установил. Вроде бы... Жду дальнейших указаний :)

[QUOTE='sw(ws);484310']Установил. Вроде бы...[/QUOTE]Если сомневаетесь, запустите скрипт из сообщения #12.
Обновления должны закрыть лазейку для этого зловреда.

[QUOTE=AndreyKa;484312]Если сомневаетесь, запустите скрипт из сообщения #12.
Обновления должны закрыть лазейку для этого зловреда.[/QUOTE]

Выполнил. Прилагаю.
ЗЫ. Файл не прикрепить, пишет, что такой файл уже есть.