зараза с svchost

помогите, пожалуйста, в борьбе с заразой! сделал скан через avz по правилам, но сохранить лог по правилам ему уже не удается получилось только как txt. перекинулось с другого компа через сетку. каждый раз при загрузке компа ругается на ссылку на какой-нибудь левак в Administrator/Local Settings/Temp. типа A.exe или B.exe и т.п.на другом компе в принципе не запускается ни avz, ни hijack (переименованные) hijack вообще вылетает в синий экран через пару секунд после старта.

посоветуйте, как побороть эту заразу?

Сделайте логи [B]полиморфным[/B] AVZ (ссылка в подписи)

полиморфный avz завис за 25 секунд до предполагаемого окончания и висит уже полчаса над адресом windows\system32\drivers\etc. по видимому, довести до конца он скрипт "помогите с лечением/карантином" не сможет. есть еще какие-нибудь способы подкопаться?

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

запускал полиморфного avz (в обыкновенном режиме, safe mode не запускаетс€, синий экран мелькает и на перезагрузку), он что-то запихал в карантин, но в итоге за 11 секунд до окончани€ подвис на все том же system32/driver/etc. прилагаю соответствующий лог.

запуск combofix не помог, виснет безнадежно на stage_2. avenger руткитов не нашел. а вот gmer пошел, сканил 4-5 часов. лог прилагаю.

посмотрел autoruns.exe (пришлось сделать .сом, ехе вообще не запускаетс€), убрал галки напротив этих:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AutoStart c:\documents and settings\administrator\local settings\temp\tmp1298.exe
userini c:\windows\explorer.exe: userini.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
userini c:\windows\explorer.exe: userini.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
userini c:\windows\explorer.exe: userini.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
userini c:\windows\explorer.exe: userini.exe

правда последние два после новой загрузки по€вл€ютс€ снова.

HiJackit не идет ни под каким видом - выплевывает синий экран такого рода: STOP: 0x000000F4 (0x00000003, 0x82BCE410, 0x82BCE584, 0x805FA7A8) и сразу на перезагрузку.


что можно еще попробовать?

деинсталируйте аутпост ... и сделайте логи авз

[QUOTE=V_Bond;603970]деинсталируйте аутпост ... и сделайте логи авз[/QUOTE]
логи сделать через стандартный скрипт "помогите" с лечением/карантином?

Да. По правилам.

[QUOTE=V_Bond;603970]деинсталируйте аутпост ... и сделайте логи авз[/QUOTE]

удалил, но лог не может сделать вообще: подвисает на все том же system32/driver/etc.

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 23 минуты[/I][/B][/color][/size]

удивляюсь, может ли вирус быть настолько хитрым. но на зараженном компе не запускается ничего c этот домена. все остальные сайты без проблем

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 38 минут[/I][/B][/color][/size]

а дело не может быть в файлах в папке system32/drivers/etc? насколько я понял, файл hosts может быть проблемным. в папке system32/drivers/etc лежат hosts, hosts.ics, lmhosts.sam, networks, protocol и services. могут они смущать avz?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 20 минут[/I][/B][/color][/size]

mrak74, у меня лимит сообщений исчерпался. напишу пока хоть сюда:

[QUOTE=mrak74][QUOTE=d.schmitz][QUOTE=mrak74]А запинается сканирование любым сканером на одном и том же месте (на тех же самых файлах)....Я к тому что файл как правило на определенном секторе HDD записан. Может есть смысл HDD Regeneratorom прогнать или chkdsk попробовать[/QUOTE]

попробую. а дело не может быть в самих этих файлах? насколько я понял, файл hosts может быть проблемным. в папке system32/drivers/etc лежат hosts, hosts.ics, lmhosts.sam, networks, protocol и services. могут они смущать avz?[/QUOTE]

файл HOSTS встречается модифицированным вирусами, когда в нем прописаны сайты антивирусов, для того чтобы не было возможности зайти на них. Но случаев запинания при снятии логов AVZ кроме как при в ключенном другом антивирусе который мирно пропустил вирусы в систему, а потом при снятии логов AVZ встрепенулся и принял попытки удалить, в свою очередь AVZ "тянет одеяло к себе" вот и происходит стоп чтения на этом месте. Но насколько я помню вам уже рекомендовали снести Agnitum Outpost (на память, вроде он у вас стоял). Если снесли его и нет других антивирусов, скорее всего причина в HDD. А кстати какой размер файла Hosts у вас? Бывает разный, но умеренно отличаются размеры к примеру мой [url]http://narod.ru/disk/18118520000/hosts.html[/url] хоть и по обьему 371 кб модифицирован от вредоносных сайтов, считывается AVZ без проблем[/QUOTE]


эффект "встрепенулся" был пока я не отрубил avg. outpost я честно снес, сейчас для надежности выкорчевал совсем avg и nod32, который в принципк был отключен. попробую еще разик avz. мой hosts 4,75 MB. а что, его можно стянуть с другого компа один к одному? в autorun кстати нашел wrdr.kuo и qtwm.exe, что мне очень напоминает вот это: [url]http://virusinfo.info/showthread.php?t=73720[/url].

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

mrak74, спасибо. пойду по вашей ссылке почитаю про Hosts

УРА! удалось снять лог avz. прикрепляю.

Это был не лог.

пардон. вот теперь лог:

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\Dokumente und Einstellungen\Administrator\wnmyfqk.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
DeleteService('usbf27');
DeleteService('usbf25');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf25.sys','');
DeleteService('jhzzmaji');
QuarantineFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys','');
QuarantineFile('C:\WINDOWS\system32\wrdr.kuo','');
QuarantineFile('C:\WINDOWS\system32\qtwm.exe','');
QuarantineFile('c:\windows\system32\wmicvrt.exe','');
DeleteFile('c:\windows\system32\wmicvrt.exe');
DeleteFile('C:\WINDOWS\system32\qtwm.exe');
DeleteFile('C:\WINDOWS\system32\wrdr.kuo');
DeleteFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf25.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
DeleteFile('C:\Dokumente und Einstellungen\Administrator\wnmyfqk.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0044848.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0045858.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0049079.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0050142.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0050143.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
ExecuteRepair(16);
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

шлю карантин и логи. наблюдения: после выполнения скрипта и перезагрузки, ужасно затормозилась система. так что проводник открывается минут 10. обращение к винчестеру при этом практически нулевое, то есть все жрет оперативка. в taskmanager заглянул: svchost ест 92 и больше памяти. что примечательно, если установить соединение с инетом, оперативка облегчается, и только благодаря этому снятие логов стало вообще возможным. и еще небольшое замечание: при выключении компа мелькает показательно сворачивающийся процесс qwtplugin.exe.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('usbf27');
DeleteService('usbf25');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf25.sys','');
QuarantineFile('C:\WINDOWS\system32\koosoufeboo.exe','');
QuarantineFile('C:\WINDOWS\system32\bezool.exe','');
SetServiceStart('jhzzmaji', 4);
DeleteService('jhzzmaji');
QuarantineFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys','');
QuarantineFile('C:\WINDOWS\system32\wmicvrt.exe','');
TerminateProcessByName('c:\windows\temp\wpv451268842301.exe');
QuarantineFile('c:\windows\temp\wpv451268842301.exe','');
TerminateProcessByName('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe');
QuarantineFile('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe','');
TerminateProcessByName('c:\windows\system32\qtwm.exe');
QuarantineFile('c:\windows\system32\qtwm.exe','');
TerminateProcessByName('c:\windows\system32\qtplugin.exe');
QuarantineFile('c:\windows\system32\qtplugin.exe','');
DeleteFile('c:\windows\system32\qtplugin.exe');
DeleteFile('c:\windows\system32\qtwm.exe');
DeleteFile('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe');
DeleteFile('c:\windows\temp\wpv451268842301.exe');
DeleteFile('C:\WINDOWS\system32\wmicvrt.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
DeleteFile('C:\WINDOWS\system32\bezool.exe');
DeleteFile('C:\WINDOWS\system32\koosoufeboo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','dyta');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','koomu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryWm');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf25.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

спасибо вам за оперативность. сделал и прислал. правда наверное следовало сегодняшний карантин (предыдущий) до выполнения скрипта очистить, а то эти файлы, наверное, добавились к старым.

Делайте новые логи

вот новые:

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\bezool.exe','');
QuarantineFile('C:\Dokumente und Einstellungen\Administrator\fkrxsdt.exe','');
QuarantineFile('C:\WINDOWS\system32\solury.exe','');
DeleteService('tesaauswzsyp3rso');
QuarantineFile('C:\WINDOWS\System32\Drivers\csabbfcc.sys','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\csabbfcc.sys');
DeleteFile('C:\WINDOWS\system32\solury.exe');
DeleteFile('C:\Dokumente und Einstellungen\Administrator\fkrxsdt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\bezool.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','koomu');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','koomu');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connec-tion Wizard Setup Tool');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

спасибо, thyrex. вечером смогу прогнать.