Противный Peerfrag.fd

Printable View

24.11.2010, 02:10
Sayton

Противный Peerfrag.fd

Подключил новый провайдер интернета,после работы соединения,в среднем 5-10 минут оно обрывается,вылазиет вот такая ошибка Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. и подключается только после перезагрузки компьютера,Nod32 зафиксировал Peerfrag.fd,вроде как изолирует и убивает но толку никакого.В процессах начали появляться всякие msvmiode.exe, cfdrive32.exe и процессы с набором цифр,начали сильно тормозить процессы и приложения.Логи ниже,надеюсь на помощь.
24.11.2010, 07:01
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKLM\..\Run: [Advanced DLTHL Enable] C:\DOCUME~1\ПАШКА~1.BAT\LOCALS~1\Temp\708.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
[/CODE]
2.Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\DOCUME~1\ПАШКА~1.BAT\LOCALS~1\Temp\708.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\DOCUME~1\ПАШКА~1.BAT\LOCALS~1\Temp\708.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:

- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
25.11.2010, 03:24
Sayton

Сделал всё как было указано,процессы с набором цифр пропали,остальные остались,интернет соединение не рвётся,но тормозить стало сильнее,после установки SP3 не мог зайти на сайты антивирусов и на ваш,поймал Win32.HLLW.Shadow.based ,теперь сайты грузит нормально.
25.11.2010, 05:47
Bratez

Очистите временные файлы IE через [I]Свойства обозревателя[/I].

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Пашка.BATA\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9438679065-1292016430-558792725-4053\syscr.exe');
DeleteFileMask('C:\Documents and Settings\Пашка\Local Settings\Temp', '*.*',true);
DeleteFileMask('C:\Documents and Settings\Пашка.BATA\Local Settings\Temp', '*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи по правилам + лог MBAM.
25.11.2010, 23:15
Sayton

Выполнил лог в AVZ.Вот логи,половина сайтов не хочет грузиться...
25.11.2010, 23:25
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Downloads\Архивы\Devine.zip','');
QuarantineFile('c:\windows\cwdrive32.exe','');
TerminateProcessByName('c:\windows\cwdrive32.exe');
DeleteFile('c:\windows\cwdrive32.exe');
QuarantineFile('C:\Documents and Settings\Пашка.BATA\Local Settings\Temporary Internet Files\Content.IE5\0123S5UV\isvs[1]._ ','');
QuarantineFile('C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\KMOCPMQN\serv6[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\IBG7MV0V\m000[1].exe ','');
QuarantineFile('C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\KMOCPMQN\serv6[1].exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY.003\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Пашка.BATA\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] оставшееся из этого
[CODE]
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Palevo) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\IBG7MV0V\m000[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\IBG7MV0V\ngrpysd[1].bmp (Worm.Conficker) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\AUXB5BRX\eetlm[1].gif (Worm.Conficker) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\AUXB5BRX\bllss[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\C9RLHR2D\schewj[1]._ (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\C9RLHR2D\isjwb[1]._ (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\J6GWQKW6\bfiuefwg[1]._ (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\J6GWQKW6\95dshb[1]._ (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пашка\Local Settings\Temporary Internet Files\Content.IE5\KMOCPMQN\serv6[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пашка\Application Data\ltzqai.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.003\Local Settings\Temporary Internet Files\Content.IE5\KT0L6L6T\m0bis[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.003\Local Settings\Temporary Internet Files\Content.IE5\TW7FR2C9\bsjemhv[1].jpg (Worm.Downadup) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Local Settings\Temporary Internet Files\Content.IE5\0123S5UV\isvs[1]._ (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Local Settings\Temporary Internet Files\Content.IE5\0123S5UV\schewj[1]._ (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Local Settings\Temporary Internet Files\Content.IE5\NI7TC45L\schewj[1]._ (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Local Settings\Temporary Internet Files\Content.IE5\FNJF6NZY\schewj[1]._ (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{ECD26E21-811B-4141-9C14-C17814B8FB68}\RP1\A0000025.exe (Backdoor.Bot) -> No action taken.
C:\FOUND.035\FILE0130.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0287.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0288.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0410.CHK (Backdoor.Bot) -> No action taken.
C:\FOUND.035\FILE0411.CHK (Backdoor.Bot) -> No action taken.
C:\FOUND.035\FILE0444.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0462.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0463.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0464.CHK (Trojan.Agent) -> No action taken.
C:\FOUND.035\FILE0481.CHK (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cwdrive32.exe (Worm.Palevo) -> No action taken.

[/CODE]

- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
30.11.2010, 21:03
Sayton

Здравствуйте,извините за столь долгий простой,дела семейные возникли,логи вот,карантин выложил ранее,ещё переодически появляется shadow.based который кроет доступ к сайтам антивирусов ,лечу его,всё работает,проходит время он опять появляется,вот только что в очередной раз вылечил.
30.11.2010, 21:17
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные файлы:
C:\Documents and Settings\NetworkService.NT AUTHORITY.003\Local Settings\Temporary Internet Files\Content.IE5\0N522EIY\snlxj[1].bmp (Worm.Conficker) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.003\Local Settings\Temporary Internet Files\Content.IE5\9DJ34G2X\wmzxgmt[1].gif (Worm.Downadup) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Рабочий стол\avz4\avz4\Quarantine\2010-11-25\avz00003.dta (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Рабочий стол\avz4\avz4\Quarantine\2010-11-25\avz00004.dta (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пашка.BATA\Рабочий стол\avz4\avz4\Quarantine\2010-11-25\avz00005.dta (Trojan.Agent) -> No action taken.
[/CODE]

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
11.12.2010, 18:55
Sayton

в MBAM удалил,сделать лог combofix не получается,всё зависает,делал по инструкции,после 2х часов работы зависает,оставлял пару раз на ночь,тоже самое.Впринципе система работает нормально,интернет соединение не рвётся и визуально всё в норме,так что наверное можно оставить всё как есть.Огромное спасибо Вам,тем кто помогал.
11.12.2010, 20:57
thyrex

[QUOTE='Sayton;744254']сделать лог combofix не получается[/QUOTE]Попробуйте в безопасном режиме
12.12.2010, 20:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice.nt authority.002\\local settings\\temporary internet files\\content.ie5\\ibg7mv0v\\m000[1].exe - [B]P2P-Worm.Win32.Palevo.biht[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KDV.70719, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\documents and settings\\пашка.bata\\local settings\\temporary internet files\\content.ie5\\0123s5uv\\isvs[1]._ - [B]Backdoor.Win32.IRCBot.ree[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.131030, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\пашка\\local settings\\temporary internet files\\content.ie5\\kmocpmqn\\serv6[1].exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5160134, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\пашка~1.bat\\locals~1\\temp\\708.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5160134, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Malware-gen )[*] c:\\downloads\\архивы\\devine.zip - [B]Exploit.Win32.Nuker.Divine[/B] ( DrWEB: archive: Trojan.Divine, BitDefender: Trojan.Generic.2535074, NOD32: Win32/Nuker.Divine trojan )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.Jorik.SdBot.lg[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5346417, AVAST4: Win32:Malware-gen )[*] c:\\windows\\cwdrive32.exe - [B]Net-Worm.Win32.Kolab.niv[/B] ( DrWEB: Trojan.AVKill.3187, BitDefender: Worm.Generic.295033, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\msvmiode.exe - [B]Email-Worm.Win32.Joleee.fkz[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.5126931, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]