Не удалить advapi32.$$$

Printable View

30.07.2010, 16:57
bitree

Не удалить advapi32.$$$

Добрый день, коллеги, с праздником!!) :D
Помоги решить проблемку. В корпоративной сети стоит антивирус g-data. На всех ПК. На одном ПК появился вирус. G-data якобы находит, удаляет, но через некоторое время эти файлы все равно появляются. И по кругу.
Вот файлы на которые ругается g-data:
trojan.jeneric 3211108 c:\windows.0\system32\advapi32.$$$
win32:Malware-gen c:\windows\system32\ytjjcz.exe
И прочие файлы в директории system32. (после удаления ytjjcz.exe появляется например на dfgrfq.exe)

Cureit в сочетание с ERD commander 2007 ниразу не подводил. А тут ничего не нашел. И вообще обычные антивирусы типо KAV ничего не находят. А вот g-data ругается.
Помогите избавится от этой заразы! А то постоянно какие то траблы возникают по мелочи с этим ПК. То сайты не открываются. То Язык не переключается. Вирусняк делает что хочет.
Спасибо
30.07.2010, 17:25
Шапельский Александр

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\186bd876.exe,C:\WINDOWS.0\system32\bf46d67b.exe,C:\WINDOWS.0\system32\pmibks.exe,
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%system32%\syslink.dll','');
QuarantineFile('C:\WINDOWS.0\system32\webmin\AutorunsDisabled\winhelp32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\winhelp32.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\09C2~1\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\1awWu6n.exe','');
QuarantineFile('C:\WINDOWS.0\system32\pmibks.exe','');
QuarantineFile('C:\WINDOWS.0\system32\bf46d67b.exe','');
QuarantineFile('C:\WINDOWS.0\system32\186bd876.exe','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\glaide32.sys','');
DeleteService('glaide32');
DeleteFile('C:\WINDOWS.0\system32\drivers\glaide32.sys');
DeleteFile('C:\WINDOWS.0\system32\186bd876.exe');
DeleteFile('C:\WINDOWS.0\system32\bf46d67b.exe');
DeleteFile('C:\WINDOWS.0\system32\pmibks.exe');
DeleteFile('\\?\globalroot\systemroot\system32\1awWu6n.exe');
DeleteFile('C:\DOCUME~1\09C2~1\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS.0\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS.0\system32\webmin\AutorunsDisabled\winhelp32.exe');
DeleteFile('%system32%\syslink.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
Executerepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Выполните еще такой скрипт[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
30.07.2010, 17:43
bitree

Спасибо что откликнулись) Скрипты выполнил, карантин выслал. Сейчас делаю новые логи.
30.07.2010, 18:09
bitree

Вот новые логи
30.07.2010, 18:32
Шапельский Александр

Выполните скрипт в [B]безопасном режиме[/B]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%system32%\syslink.dll','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\vdi3ndu1.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\1awWu6n.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\1awWu6n.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS.0\system32\drivers\vdi3ndu1.sys');
DeleteFile('%system32%\syslink.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]Закачайте карантин, сделайте новые логи (в обычном режиме)
Еще [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] в HijackThis эту строку:
[code]
O20 - Winlogon Notify: syslink - syslink.dll (file missing)
[/code]
Перезагрузите ПК
30.07.2010, 18:52
bitree

Скрипт в безопасном выполнил, карантин пустой. Так и должно быть?
Новые логи делаю в обычном режиме.
30.07.2010, 18:58
Шапельский Александр

[QUOTE='bitree;679331']Скрипт в безопасном выполнил, карантин пустой. Так и должно быть?[/QUOTE]Бывает.
30.07.2010, 19:18
bitree

Вот новые логи
30.07.2010, 19:32
Шапельский Александр

Сделайте лог MBAM и лог Gmer
30.07.2010, 19:47
bitree

Млин, запустил MBAM так он так медленно сканирует похоже часов пять будет комп сканить =( Я запустил полное сканирование, может нужно быстрое?
31.07.2010, 23:29
thyrex

[QUOTE='bitree;679360']Я запустил полное сканирование[/QUOTE]Так и нужно

[QUOTE='bitree;679271']c:\windows.0\system32\advapi32.$$$[/QUOTE]Это временный файл, созданный Crypto Pro
02.08.2010, 11:51
bitree

Добрый день. Сделал логи сканирования gmen и mbam
02.08.2010, 14:42
thyrex

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS.0\Debug\UserMode\explorer.exe','');
QuarantineFile('C:\Documents and Settings\Александор\Local Settings\Temp\e.exe','');
QuarantineFile('C:\WINDOWS.0\system32\servises.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\Interface\{403538f6-2e9b-8125-6803-a744610bc3ac} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e1451945-ae2e-c356-b18f-6fdd0b100081} (Trojan.BHO) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\bn (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d1 (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d2 (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d3 (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Trojan.Ambler) -> No action taken.

Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\twain32 (Backdoor.Bot) -> No action taken.

Зараженные файлы:
D:\System Volume Information\_restore{D042CC98-C6FF-470B-9F45-ECD90EC6E84A}\RP472\A0488234.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS.0\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS.0\system32\twain32\user.ds.lll (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Александор\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\_id.dat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\a9k.bin (Trojan.Agent) -> No action taken.
C:\WINDOWS.0\system32\c2d.dat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\ck.dat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\hrpdcf.bin (Trojan.Agent) -> No action taken.
C:\WINDOWS.0\system32\idm.dat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\q1.dat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\servises.exe (Trojan.Tedroo) -> No action taken.
C:\WINDOWS.0\system32\xd.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Александор\Local Settings\Temp\e.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS.0\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.[/CODE]Новый лог МВАМ предоставьте
03.08.2010, 14:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]