wdfmgr.exe, alg.exe и другие

Здравствуйте,
Дал на время товарищу винт с windows xp. Что он с ним делал, внятно объяснить не может. Теперь столкнулся при загрузке с рядом ошибок в обозначенных в названии темы процессах. Можно ли вылечить?

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.wsh','');
QuarantineFile('E:\autorun.wsh','');
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\WINDOWS\system32\D.tmp','');
QuarantineFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\XN94ELZJ\update[1].exe','');
QuarantineFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\FHAQFI46\update[1].exe','');
QuarantineFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\2OJZLPX7\update[1].exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
DeleteService('ouxaegt');
QuarantineFile('C:\WINDOWS\system32\ouxaegt.SYS','');
QuarantineFile('c:\windows\system32\userini.exe','');
QuarantineFile('c:\windows\fonts\services.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\windows\system32\28.tmp','');
DeleteFile('c:\windows\system32\28.tmp');
DeleteFile('c:\windows\system32\spoolsv.exe');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\ouxaegt.SYS');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\2OJZLPX7\update[1].exe');
DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\FHAQFI46\update[1].exe');
DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\XN94ELZJ\update[1].exe');
DeleteFile('C:\WINDOWS\system32\D.tmp');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('E:\autorun.wsh');
DeleteFile('F:\autorun.wsh');
DeleteFile('C:\WINDOWS\system32\5.tmp');
DeleteFile('C:\WINDOWS\system32\a.tmp');
DeleteFile('C:\WINDOWS\system32\c.tmp');
DeleteFile('C:\WINDOWS\system32\d.tmp');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
скачайте заново ! авз повторите логи

Ох, и намучался, после всех процедур перестал запускаться браузер.
Логи обновил, карантин закачал.

[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
Очевидно, у вас файловый вирус
Пришлите ваш экземпляр [B]avz.exe[/B] в архиве с паролем [I]virus [/I]по ссылке для карантина.
Пролечите систему по этой методике:
[url]http://virusinfo.info/showthread.php?t=15927[/url].

AVZ и HijackThis лучше скачать повторно, а не использовать пролеченные.

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:3128
F3 - REG:win.ini: run=C:\WINDOWS\fonts\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,autorun.bat
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINDOWS\fonts\services.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\D.tmp');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\2OJZLPX7\update[2].exe');
DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\3VRHZD2T\update[1].exe');
DeleteFile('C:\WINDOWS\Fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\A.tmp');
DeleteFile('C:\WINDOWS\system32\5.tmp');
DeleteFile('C:\WINDOWS\system32\6.tmp');
DeleteFile('C:\WINDOWS\system32\a.tmp');
DeleteFile('C:\Documents and Settings\Master\implayok.exe');
DeleteFile('C:\WINDOWS\system32\implayok.exe');
DeleteFile('C:\WINDOWS\system32\d.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.

avz.exe отправил!
прикрепил новые логи.

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\1C.tmp');
DeleteFile('C:\WINDOWS\system32\9.tmp');
DeleteFile('C:\WINDOWS\system32\c.tmp');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userini');
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('.\28.tmp');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
QuarantineFile('c:\windows\temp\gtk6.tmp','');
StopService('ERSvcSCardSvr');
QuarantineFile('C:\WINDOWS\system32\24y.exe','');
DeleteFile('c:\windows\temp\gtk6.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"][B]Bonjour[/B][/URL]

Не удается загрузить файл [B][COLOR=red]quarantine.zip[/COLOR][/B] из папки AVZ - пишет, что такой файл был уже загружен.
Службу Бонжур не обнаружил, но все процедуры сделал.
Прикрепляю новые отчеты:

1. профиксить в MBAM
[CODE]
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.

[/CODE]

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ','');
QuarantineFile('C:\WINDOWS\system32\jyitww.dll','');
QuarantineFile('C:\WINDOWS\system32\5766,871.exe','');
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
QuarantineFile('C:\WINDOWS\TEMP\gtk2.tmp','');
DeleteFile('C:\WINDOWS\TEMP\gtk2.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

+ Сделать лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]

Карантин загрузил, браузер ИЕ8 не открывается в окне.
Логи прикрепил.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\24y.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\KGootkit.sys','');
QuarantineFile('C:\WINDOWS\TEMP\gtk1B.tmp','');
DeleteFile('C:\WINDOWS\TEMP\gtk1B.tmp');
DeleteFile('C:\WINDOWS\System32\drivers\KGootkit.sys');
DeleteFile('C:\WINDOWS\system32\24y.exe');
DeleteFile('C:\WINDOWS\system32\jyitww.dll');
DeleteFileMask('C:\WINDOWS\TEMP', '*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('KGootkit');
BC_DeleteSvc('ERSvcSCardSvr');
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\msilm');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\msilm\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\msilm');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\msilm');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\msilm\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\msilm');
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RegKeyParamDel( 'HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
RegKeyParamDel( 'HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (стандартный комплект по правилам).

OK! Браузер запускается. Ошибки все также вылетают.
Карантин отослал. Новые логи прикрепил.

Ребята, понимаю вашу нагрузку, но все-таки, что с дальнейшим лечением?

выполните [url]http://virusinfo.info/showthread.php?t=15927[/url]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Лечить LiveCD сейчас нету возможности, буду вечером.
А вот скрипт выполнить не удается - пишет:
Ошибка: ')' expected в позиции 3:34

Добавлено: поправил, каратнин выслал.

Снова приветствую!
Пролечил на выходных LiveCD Dr.Web.
Посмотрите, пожалуйста свежие логи.

в логах чисто.

Понятно, но все-таки при загрузке выскакивают две ошибки. Сначала в процссе alg.exe, потом wdfmgr.exe. Также не запускаются: диспетчер задач, диспетчер устройств, services.msc... Да, и при открытии Блокнота вылетает сообщение о невозможности использования данного приложения.

пуск выполнить sfc /scannow (понадобится диск с дистрибутивом )

В том-то и дело, что нету того дистрибутива.