Explorer отключается, в Winlogon прописываются вирус, AVZ и AVP Tool ничего не находят

Printable View

19.10.2010, 20:22
_Anna_

Вложений: 1

Explorer отключается, в Winlogon прописывается вирус, антивирусные сайты не доступны, AVZ и AVP Tool ничего не находят

Добрый вечер!

Система Windows XP SP2. Вирус блокировал все имеющиеся на компьютере браузеры, explore.exe вообще отключил. AVZ и Virus Removal Tool вирусов не обнаружили. После чистки CCleaner'ом кэша, браузеры запустились, но антивирусные сайты были не доступны. И некая служба продолжала попытки соединения с каким-то сайтом, outpost'ом соединение блокировалось. Я почистила Temp AVZ и перезагрузилась. Всё повторилось сначала, explorer отключается, экран пустой, AVZ и Virus Removal Tool вирусов не находят. В параметре Userinit ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon я обнаружила прописанные пути на два сторонних файла sbwfzgs.exe и AcA4b6dc.exe. Файлы были вручную удалены, после перезагрузки параметр Userinit исправлен. Браузеры запускались, но теперь отрубился интернет, были предприняты попытки лечения, как написано в [URL="http://www.z-oleg.com/secur/advice/adv1086.php"]После удаления вредоносной программы (вручную или при помощи антивируса) возникли проблемы с доступом в Интернет[/URL]. Я не знаю, помогли ли эти методы, или наоборот, но в итоге, выяснилось, что брандмауэр стал блокировать инет и был переставлен.
Пожалуйста, посмотрите, осталась ли какая-то служба, вызывающая подозрение, меня беспокоит странный файл с расширением tmp (AVZ в логе его указал) в C:\WINDOWS\Temp\, который не удаляется (после удаления в безопасном режиме восстанавливается).

Ещё все антивирусные сайты kaspersky.ru, avast.ru, virusinfo.info, pchelpforum.ru и т.д. не загружаются, 216.246.91.178 стал доступен после прохода ComboFix'ом.

Заранее большое спасибо за помощь.
20.10.2010, 00:58
Никита Соловьев

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]
20.10.2010, 02:57
_Anna_

Лог
20.10.2010, 19:22
Никита Соловьев

Удалите с помощью МВАМ всё, кроме:
[CODE]C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Fireworks CS3 VLK.exe (RiskWare.Tool.CK) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Acrobat 3D 8.1.0.EXE (Trojan.Downloader) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Acrobat 8 Pro Keygen.exe (Backdoor.Bot) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Adobe CS3 Design Premium Keygen.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Adobe CS3 Web Premium Keygen.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Adobe Web Premium CS3 Keygen + Activation.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\After Effects CS3.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Audition 2.0.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Contribute CS3 VLK.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\DreamWeaver CS3 Keygen + Activation.exe (Trojan.Horst) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Dreamweaver CS3 VLK.exe (Trojan.Crax) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Dreamweaver CS3.exe (Trojan.Agent) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Flash CS3 Keygen.exe (Trojan.Agent.CK) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\GoLive CS3 Keygen.exe (Trojan.Downloader) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\InDesign CS3 VLK.exe (Trojan.Agent.CK) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\PhotoShop CS3 Extended Keygen + Activation.exe (TrojanProxy.Horst) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Photoshop CS3 Keygen.exe (RiskWare.Tool.CK) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\Photoshop Extended CS3 Keygen.exe (RiskWare.Tool.CK) -> No action taken.
C:\Downloads\CS3_Keygen_Collection\CS3 Keygen Collection\SoundBooth CS3.exe (Trojan.Horst) -> No action taken.
C:\Downloads\nerolite_europa_9.4.13.2\keymaker.exe (Trojan.Agent) -> No action taken.
C:\Downloads\Half-open_limit_fix_3.6\Half-open_limit_fix_3.6\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
C:\Downloads\Half-open_limit_fix_3.6\Half-open_limit_fix_3.6\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
C:\Program Files\USB Safely Remove\usr.exe (Trojan.Agent) -> No action taken.
C:\Program Files\DAEMON Tools\AdVantageSetup.exe (Adware.Vomba) -> No action taken.
C:\Temp\avz4\Quarantine\2010-03-20\avz00001.dta (Malware.Packer.Gen) -> No action taken.
C:\Temp\avz4\Quarantine\2010-05-23\avz00001.dta (Backdoor.Bot) -> No action taken.
C:\Temp\cs3keygen\Adobe CS3 Extended VOLUME LICENSE\Adobe Dreamweaver CS3 VOLUME LICENSE KEYGEN.exe (Trojan.Crax) -> No action taken.
C:\Temp\cs3keygen\Adobe CS3 Extended VOLUME LICENSE\Adobe Flash CS3 KEYGEN_Z.W.T\Keygen.exe (Trojan.Agent.CK) -> No action taken.
C:\Temp\cs3keygen\Adobe.CS3.Keygens.collection\Adobe.CS3.Design.Premium.Keymaker.Only.Repack-ZWT\zcs3dpkg\zwt\keygen.exe (Trojan.Agent) -> No action taken.[/CODE]Подготовьте новый лог МВАМ.
21.10.2010, 05:56
_Anna_

Сегодня после включения компьютера, ещё до чистки МВАМ, стали доступны все антивирусные сайты, что за чудеса непонятно, вчера я ничего не чистила.

Пока в карантине C:\WINDOWS\system32\drivers\26144122.sys, но это от скорее всего от Касперского (Boot Guard Driver), есть ещё 2614412.sys и 26144121.sys (Kaspersky Unified Driver).

Теперь ошибка вылезает:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7026
Описание:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
26144122
PCIIde

Ещё после заражения вот это:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7023
Описание:
Служба "HID Input Service" завершена из-за ошибки
Не найден указанный модуль.