вирус!!! Помогите.

Printable View

28.01.2010, 14:16
Gesserok

вирус!!! Помогите.

1. Диски открываются в новых окнах
2. Не применяются изменения просмотра скрытых/системных файлов
3. В IE пытается внедрится какой-то процесс:
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\WINDOWS\Explorer.EXE
4. Какие-то процессы пытаются получить доступ к Касперу... PID разные:
26.01.2010 15:52:19 Попытка процесса с PID 1196 получения доступа к процессу Антивирус Касперского с PID 408 была заблокирована. Это результат срабатывания механизма самозащиты.
26.01.2010 15:59:35 Попытка процесса с PID 1580 получения доступа к процессу Антивирус Касперского с PID 408 была заблокирована. Это результат срабатывания механизма самозащиты.
5. При проверке каспером мигают ярлыки на рабочем столе.
6. При открытии странички сначала тупит, а потом быстро открывает.
28.01.2010, 14:29
Gesserok

Пытается внедриться вот эта зараза:
Внедряемый модуль:
C:\DOCUME~1\Gesser\LOCALS~1\Temp\cvasds0.dll
ID процесса (PID): 1028
Размер: 90,5 КБ
Создан: 27.01.2010 15:26:48
Изменен: 28.01.2010 13:27:40

Дочерние процессы:
C:\Documents and Settings\Gesser\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_26.01.2010_20-25\startup.exe 1152 "C:\Documents and Settings\Gesser\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_26.01.2010_20-25\startup.exe" "C:\Documents and Settings\Gesser\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_26.01.2010_20-25\setup_9.0.0.722_26.01.2010_20-25.exe" -gui -bl
C:\Documents and Settings\Gesser\Local Settings\Temp\herss.exe 788 "C:\DOCUME~1\Gesser\LOCALS~1\Temp\herss.exe"
C:\Program Files\Messenger\msmsgs.exe 592 "C:\Program Files\Messenger\msmsgs.exe" /background
C:\WINDOWS\system32\ctfmon.exe 1388 "C:\WINDOWS\system32\ctfmon.exe"
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe 1064 "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe 452 "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
C:\WINDOWS\system32\igfxpers.exe 1340 "C:\WINDOWS\system32\igfxpers.exe"
C:\WINDOWS\system32\hkcmd.exe 372 "C:\WINDOWS\system32\hkcmd.exe"
C:\WINDOWS\system32\igfxtray.exe 1984 "C:\WINDOWS\system32\igfxtray.exe"
C:\WINDOWS\system32\verclsid.exe 1736 /S /C {2559A1F5-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
C:\WINDOWS\system32\verclsid.exe 1896 /S /C {2559A1F4-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
28.01.2010, 14:45
DefesT

Какой-то из дисков - флэшка. Не вынимайте её!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\df.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('E:\df.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\df.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\df.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\cvasds0.dll','');
DeleteFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\cvasds0.dll');
DeleteFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\herss.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\df.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\df.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\df.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\df.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log
28.01.2010, 15:35
Gesserok

Новые логи
28.01.2010, 15:41
Gesserok

Карантин опять не отправляется :(

Отправлю с другого ПК позже.
28.01.2010, 17:17
DefesT

В логах чисто.
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
Рекомендуется установить [B]Service Pack 3[/B] с последними обновлениями (может потребоваться активация!!!), также обновите Internet Explorer до [B]8[/B] версии
28.01.2010, 18:45
Gesserok

Карантин сбросил.

Результат загрузки Файл сохранён как 100128_184431_virus_4b61b0dfbaa93.zip
Размер файла 564042
MD5 e45f70c2eeac0038a1fe2c537df2488c

Файл закачан, спасибо!
29.01.2010, 18:18
Gesserok

Настройки отображения скрытых/системных файлов так и продолжают сбрасываться... что делать?

И... подскажите, как установить [b]ServicePack3[/b]?
29.01.2010, 18:23
Gesserok

Я прошу прощение, вот эти файлы точно не гадость какая-то?
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe

При попытке внедреня в IE они принимали участие.
01.02.2010, 16:14
pig

[QUOTE='Gesserok;573980']как установить ServicePack3?[/QUOTE]
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4[/url]

[QUOTE='Gesserok;573986']эти файлы точно не гадость какая-то?[/QUOTE]
Первые два от системы, остальные от интеловского видеодрайвера.
02.02.2010, 16:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.inf - [B]Trojan.Win32.AutoRun.zb[/B] ( NOD32: INF/Autorun virus )[*] c:\df.exe - [B]Trojan-GameThief.Win32.OnLineGames.vzww[/B] ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )[*] c:\docume~1\gesser\locals~1\temp\cvasds0.dll - [B]Trojan-GameThief.Win32.Magania.ctsd[/B] ( AVAST4: Win32:Malware-gen )[*] c:\docume~1\gesser\locals~1\temp\herss.exe - [B]Trojan-GameThief.Win32.OnLineGames.vzww[/B] ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )[*] d:\autorun.inf - [B]Trojan.Win32.AutoRun.zb[/B] ( NOD32: INF/Autorun virus )[*] d:\df.exe - [B]Trojan-GameThief.Win32.OnLineGames.vzww[/B] ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )[*] e:\autorun.inf - [B]Trojan.Win32.AutoRun.zb[/B] ( NOD32: INF/Autorun virus )[*] e:\df.exe - [B]Trojan-GameThief.Win32.OnLineGames.vzww[/B] ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )[*] g:\autorun.inf - [B]Trojan.Win32.AutoRun.zb[/B] ( NOD32: INF/Autorun virus )[*] g:\df.exe - [B]Trojan-GameThief.Win32.OnLineGames.vzww[/B] ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )[/LIST][/LIST]