Вирус не хочет уходить.

Printable View

05.10.2010, 20:48
x2004

Вирус не хочет уходить.

После подключения к новому провайдеру (Электронный город, Новосибирск) сразу же стали часто всплывать окна антивирусной программы (аваст) о блокировках угроз. Однако заражение произошло.

Видимая диагностика:
-замедление работы компа,
-за курсором тянутся часики,
-замедление до остановки работы браузера (мозилла файэ-фокс),
-периодическое отключение брандмауэра, иногда с одновременным всплыванием окна штатного антивируса (аваст) с предупреждением об угрозе.

Так же в диспетчере видны процессы:
-windrive32.exe,
-высыпают файлы типа "912.exe" и ещё разные.

При лечении с помощью avz и avptool обнаружена неустранимая подмена диспетчера задач.

Интересно, что если вручную удалять в диспетчере "windrive32.exe", то комп сносно работает. До очередного появления минут через 3-5.

Штатный специалист-системщик после 2-х дней борьбы сдался.

Помогите, пожалуйста.

Я аккуратно прошёл процедуры раздела "Диагностика", приложил 3 файла.

Заранее благодарю.
05.10.2010, 21:28
olejah

Сразу говорю - приготовьтесь к долгой и нудной борьбе.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\widrive32.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\trkorre.exe','');
QuarantineFile('C:\Documents and Settings\X\Application Data\aswykri.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0751038624-4714943547-934547625-1305\mcssc.exe','');
QuarantineFile('C:\WINDOWS\widrive32.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0622828038-3935531239-445782824-4863\syscr.exe');
DeleteFile('C:\WINDOWS\widrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\74.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
DeleteFile('C:\RECYCLER\S-1-5-21-0751038624-4714943547-934547625-1305\mcssc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
DeleteFile('C:\Documents and Settings\X\Application Data\aswykri.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\trkorre.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
05.10.2010, 21:56
x2004

Сделал

Спасибо за скорый ответ.
Скрипты выполнил, файл выслал.

Что такое "повторить логи"?
05.10.2010, 22:03
olejah

Сделать заново сканирование и выложить новые, получившиеся логи.
05.10.2010, 22:24
x2004

Сделал 2

Логи (по проходу №2) прилагаю.
05.10.2010, 22:48
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-0751038624-4714943547-934547625-1305\mcssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0622828038-3935531239-445782824-4863\syscr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscure.zip[/B]
05.10.2010, 23:05
x2004

Сделал 3

лог в прикладе.
05.10.2010, 23:16
olejah

В логе плохого нет, что с проблемой?
05.10.2010, 23:41
x2004

удивляюсь. вроде ничего нет.
plugin-container.exe - в процессах это нормально?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

пока всё нормально.

а что это было (или могло быть)?

в любом случае - большое спасибо.
06.10.2010, 07:55
olejah

[QUOTE='x2004;716347']удивляюсь. вроде ничего нет.[/QUOTE] А чего удивляться, мы и не таких били:) Но будьте начеку, обычно они так просто не уходят.

[QUOTE='x2004;716347']plugin-container.exe - в процессах это нормально?[/QUOTE] Это от браузера FireFox, стало быть нормально.

[QUOTE='x2004;716347']а что это было (или могло быть)?[/QUOTE] Оригинальных зверей Вы не поймали, очень популярная и надоедливая в последнее время штука - [B][COLOR="Red"]P2P-Worm.Win32.Palevo.awns[/COLOR][/B]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Рекомендуется -

Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
06.10.2010, 13:04
x2004

Большое спасибо за рекомендации, сделано.

Вы - хэлперы - очччень нужные люди.
Большое человеческое спасибо!
07.10.2010, 13:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\application data\\trkorre.exe - [B]P2P-Worm.Win32.Palevo.awns[/B] ( DrWEB: Trojan.DownLoader1.26469, BitDefender: Worm.Generic.279571, NOD32: Win32/Peerfrag.IL worm, AVAST4: Win32:Trojan-gen )[*] c:\\documents and settings\\x\\application data\\aswykri.exe - [B]P2P-Worm.Win32.Palevo.awnn[/B] ( DrWEB: Trojan.DownLoader1.26140, BitDefender: Trojan.Generic.5193090, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0751038624-4714943547-934547625-1305\\mcssc.exe - [B]P2P-Worm.Win32.Palevo.awnn[/B] ( DrWEB: Trojan.DownLoader1.26140, BitDefender: Trojan.Generic.5193090, AVAST4: Win32:Malware-gen )[*] c:\\windows\\widrive32.exe - [B]Trojan-Dropper.Win32.VB.aqvw[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Swizzor.16596, AVAST4: Win32:Rebhip-AC [Trj] )[/LIST][/LIST]