Либо 5, либо 15 минут...

Здравствуйте уважаемые спецы!

Я столкнулся с достаточно неприятной бякой, которая очень интересно рубит интернет. Начнем с того, что комп моей знакомой сначала предстал передо мной в виде зоопарка, "заповедника", где происходила селекция разных-разных вирусов - даже приходило в голову, что и компьютерные вирусы могут спариваться между собой, образуя новые виды заразы. Вобщем все что мог я удалил гдето авастом (с посл обновлением), гдето сам искал по реестру и удалял. После всего этого остался комп, где были отключены наиболее опасные службы, удаленный доступ и все что с ним связано, восстановление системы, все посторонние процессы (системные я уже знаю наизусть, хотя там некоторые svhost.exe нервируют слегка) - все по минимуму короч.

Но тут попалась опасная заковырина - рубится интернет. Дело происходит так: запускаем комп (автономно работает без проблем), подключаем интернет, ждем 5 минут - аваст находит fewh.exe в папке system32 (удаляем его), далее он чтото находит в папке Network Services (и дальше гдето в темпах, тож удаляем) и инет "встает", страницы не грузятся, состояние подключения узнать нельзя. Перезагружаем - та же картина. Нет интернета - нет никаких проблем на компе.Если игнорировать эти две заразы, то инет все равно рубится но уже через примерно 15 минут.В реестре их не уследишь, в процессах не висят, даже когда инет включен, эксплорер их не отображает даже в виде скрытых.

Как я уже понял, зараза низкоуровневая, "руками" не удалишь. Поэтому прошу вашей помощи.Как писалось в правилах - выкладываю логи последнего AVZ.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); QuarantineFile('','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\bowcav.exe','');
QuarantineFile('c:\recycler\s-1-5-21-5012144937-8767990819-485884194-5502\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\bowcav.exe');
DeleteFile('c:\recycler\s-1-5-21-5012144937-8767990819-485884194-5502\nissan.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
1. Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
2. Скачайте [URL="http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215"]такую[/URL] утилиу и провертесь ей

3. Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

4. Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
5. Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]

Ок, сделаем, спасибо. Насчет ggdrive.exe - он ведь сидел в процессах, я его сам убивал - удалял в system32. Он настолько живуч что маскируется под другими именами? fewh.exe - его псевдоним?

Спасибо большое за инструкцию, все сделал по пунктам. Червь удален, интернет функционирует нормально, проверялся всеми прогами, отчеты есть. Поставил SP3, с десяток заплаток на нее сверху. В принципе все хорошо, тему можно закрывать, но если нужно проделать что-то еще - то рад стараться.

[size="1"][color="#666686"][B][I]Добавлено через 44 секунды[/I][/B][/color][/size]

Кста, карантин присылать или не надо уже?

Где лог МВАМ?

[QUOTE=thyrex;761643]Где лог МВАМ?[/QUOTE]
Вот

[QUOTE]Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.[/QUOTE]Удалите и выписываем Вас