cfdrive32 и компания

Здравствуйте!

Тут у меня, кажется, банда недоброжелателей под предводительством cfdrive32.exe. Симптомы:
1- в авторане прописываются cfdrive32.exe, psysnew, conime.exe и др. файлы с именами из цифр
2- процесс cfdrive32 потихонечку передает что-то и скачивает что-то
3- через какое-то время svchost.exe выдает ошибку и предлагает жаловаться Майкрософту
4- при запуске компьютера, сразу открывается папка My Documents

..остальные вспомнить уже не могу.

Буду очень благодарен за любую помощь

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('igfxdfk32.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-2331311071-6868791212-911040576-4929\winmap.exe,explorer.exe,C:\Documents and Settings\serik\Application Data\oekx.exe,Explorer.exe','');
QuarantineFile('C:\Documents and Settings\serik\Application Data\oekx.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
DeleteService('MRxCls');
DeleteService('MRxNet');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
DeleteFile('C:\Documents and Settings\serik\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-2331311071-6868791212-911040576-4929\winmap.exe,explorer.exe,C:\Documents and Settings\serik\Application Data\oekx.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
- поменяйте все пароли

после рестарта psysnew чнова прописался в стартапе.

еще симптом - при включении компьютера, он находит новое устройство без опознавательных знаков и пытается его установить.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('SorryKamba.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('SorryKamba.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [code]Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\K_O_G8 (Worm.AutoRun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path7 (Worm.AutoRun) -> Value: KM_Path7 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path4 (Worm.AutoRun) -> Value: KM_Path4 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path3 (Worm.AutoRun) -> Value: KM_Path3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path2 (Worm.AutoRun) -> Value: KM_Path2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path (Worm.AutoRun) -> Value: KM_Path -> No action taken.

Folders Infected:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\WINDOWS\system32\oobe\rule8\files (Worm.AutoRun) -> No action taken.

Files Infected:
c:\documents and settings\serik\Desktop\avz4\avz4\quarantine\2010-12-06\avz00001.dta (Worm.Joleee) -> No action taken.
c:\documents and settings\serik\Desktop\avz4\avz4\quarantine\2010-12-06\avz00002.dta (Backdoor.Bot) -> No action taken.
c:\documents and settings\serik\Desktop\avz4\avz4\quarantine\2010-12-07\avz00001.dta (Worm.Rimecud) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184613.exe (Malware.PGen) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184706.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184700.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184705.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184711.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184712.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184721.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195071.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195075.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184774.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184786.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184794.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184885.exe (Trojan.LVBP) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0188937.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0189937.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0188935.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190123.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190949.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190951.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190978.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190980.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193964.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193965.exe (Worm.Joleee) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193983.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193999.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195061.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195115.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195117.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195126.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195128.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195135.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195154.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195156.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS\cwdrive32.exe (Backdoor.Bot) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000235.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000264.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000394.exe (Malware.Packer.Krunchy) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000563.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000567.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000602.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000632.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP208\A0128865.exe (Rogue.BulletProofSpyware) -> No action taken.
d:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0194762.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0194985.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\serik\application data\oekx.exe (Worm.Palevo) -> No action taken.
c:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\oem7A.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
c:\WINDOWS\system32\oobe\rule8\files\Base.inf (Worm.AutoRun) -> No action taken.[/code]

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.4[/url] или удалите старый

[B]Обновите базы AVZ[/B]

Сделайте новые логи

вобщем, решил вспомнить студенческие времена и снёс к чертям систему. Установил снова+3й сервис пак, обновления и IE8. Пока полёт нормальный.

Большое всем спасибо

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\serik\\application data\\oekx.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Siggen2.11070, BitDefender: Trojan.Generic.KDV.83251, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.VBKrypt.alag[/B] ( DrWEB: Trojan.AVKill.3385, BitDefender: Trojan.Generic.5258762, AVAST4: Win32:Malware-gen )[/LIST][/LIST]