system32\******\P001.exe

Printable View

18.08.2010, 16:57
surgutfred

system32\******\P001.exe

NOD ругался на файлы в папке Windows\System32\папка\*001.exe

Эти файлы создаются из "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\папка\a[16].exe"

Примерно так, названия, буквы и папки варируются. Я эту заразу вычищаю и все норм,... пока не вхожу в инет. Видно где то висит загрузчик, который сразу подтягивает все заново.

Cureit снес какие то библиотеки, но проблему не решил.

Выкладываю файлы от avz и hijackthis
:clapping:
18.08.2010, 17:02
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
QuarantineFile('vsd.sys','');
DeleteService('vsd');
QuarantineFile('C:\WINDOWS\System32\ldsasclib.dll','');
QuarantineFile('c:\windows\system32\idsasvstart.dll','');
DeleteFile('c:\windows\system32\idsasvstart.dll');
DeleteFile('C:\WINDOWS\System32\ldsasclib.dll');
DeleteFile('vsd.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Файлы [B]c:\wuauserv.log[/B] и [B]c:\BITS.log[/B] прикрепите к своему сообщению

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL]
18.08.2010, 18:08
surgutfred

Вложений: 2

Логи
Карантин подгрузил

Сижу в инете, вроде чисто.
СПС.
18.08.2010, 19:24
polword

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(19);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

2. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[CODE]
KillAll::

File::

Driver::
IdsSrv

NetSvc::
kqwfhvapb

Folder::
c:\windows\system32\LMNCBVOD
c:\windows\system32\LM08FH64
c:\windows\system32\LKIAPADX
c:\windows\system32\CHFWKPE4
c:\windows\system32\8766HJCU
c:\windows\system32\7NI3L71Z
c:\windows\system32\MSJYP10Q

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HgpSrv"=-
"IdsSrv"=-

FileLook::

DirLook::[/CODE]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

3. Распкуйте фалы из вложения и внесите информацию в реестр, запустив их
18.08.2010, 20:33
surgutfred

ComboFix шибко ругается

[IMG]http://s60.radikal.ru/i168/1008/4e/d82d65a92606.jpg[/IMG]
18.08.2010, 20:38
polword

поправил, делайте
18.08.2010, 21:20
surgutfred

Где правленное?
Если в том же окне, то все равно то же сообщение выдает.
18.08.2010, 22:49
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\hgpasclib.dll
c:\windows\system32\gff6.exe
c:\windows\system32\ezsidmv.dat

Driver::
IdsSrv
kqwfhvapb

NetSvc::
kqwfhvapb

Folder::
c:\windows\system32\LMNCBVOD
c:\windows\system32\LM08FH64
c:\windows\system32\LKIAPADX
c:\windows\system32\CHFWKPE4
c:\windows\system32\8766HJCU
c:\windows\system32\7NI3L71Z
c:\windows\system32\MSJYP10Q

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HgpSrv"=-
"IdsSrv"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
19.08.2010, 03:52
surgutfred

Все равно выдает
[IMG]http://s60.radikal.ru/i168/1008/4e/d82d65a92606.jpg[/IMG]
19.08.2010, 09:37
thyrex

Сохраните файл из вложения на рабочий стол и далее по тексту под окном кода
20.08.2010, 09:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\idsasvstart.dll - [B]Net-Worm.Win32.Kolab.kiv[/B] ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.428550C7, NOD32: Win32/TrojanDownloader.Agent.QEK trojan, AVAST4: Win32:Alureon-NP [Trj] )[*] c:\\windows\\system32\\ldsasclib.dll - [B]Net-Worm.Win32.Kolab.klw[/B] ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.50B54F38, NOD32: Win32/TrojanDownloader.Agent.PID trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]