Вирус в perfc000.dat

День добрый.

Помогите, пожалуйста, избавиться от вируса. Компьютер стал постоянно лезть в интернет, drweb при проверке указал на Trojan.Proxy.1798 в файле perfc000.dat, но удалить его не смог, даже в Safe mode - файл тут же восстановился.
Проверка еще показала на временный фал, зараженный Trojan.Packed.49, который тоже не удаляется.
Запуск компьютера сегодня показал еще на заражение файла C:\WINDOWS\csrss.exe - инфицирован Trojan.PWS.LDPinch.1744 - вылечить тоже не удается.
Логи прикрепляю.

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');
QuarantineFile('C:\WINDOWS\svchоst.exe','');
QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\system32\odbcmr32.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('c:\windows\csrss.exe','');
QuarantineFile('c:\windows\515x.exe','');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
DeleteFile('C:\WINDOWS\system32\odbcmr32.dll');
DeleteFile('C:\WINDOWS\svchоst.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('c:\windows\515x.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9756[/url]........

Подкорректировал, ответ готов.

Скрипт выполнил.
После перезагрузки после входа в Windows выдается ошибка:
<Svhost.exe has encountered a problem and needs to close>
После неё выдается еще ошибка:
<Runtime error 216 at 0404615>
На всякий случай прикрепляю новые логи.

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
После автоматической перегрузки может не быть рабочего стола .Надо нажать CRTL+ALT+DEL. В появившемся диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне выбора файла выбрать avz.exe и нажать OK.
выполнить скрипт :
[code]
begin
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]

P.S. Не забудьте поменять пароли на всё ;)
Кстати, ваш любимый : C:\WINDOWS\svchоst.exe
свежачёк : [url]http://virusinfo.info/showpost.php?p=110052&postcount=156[/url]
Не удалились почему-то ссылки на него :( Очень странно ...

-

После выполнения первого скрипта и перезагрузки указанной ошибки не было и рабочий стол никуда не исчез. После выполнения второго скрипта ошибка снова появилась - рабочий стол остался на месте.

отключите др-веб и все остальные панельки . запустите скрипт :

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchоst.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

[/code]

[COLOR="Sienna"][B] логи делать только согласно тому что что написано между пунктом 7 и 8 правил [/B][/COLOR], что тут не понятного ?

[B]Сделайте пожалуйста новые логи.[/B]

Спасибо за помощь. :) После выполнения скрипта указанная ошибка исчезла.
[quote][B][COLOR=#a0522d]логи делать только согласно тому что что написано между пунктом 7 и 8 правил [/COLOR][/B], что тут не понятного ?[/quote]
Моя вина, не до конца вначале осознал это требование. Сейчас DrWeb выгрузил, по возможности программы лишние закрыл.
Новые логи прилагаются.

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe
O21 - SSODL: odb_set - {DE49CEE3-A6BF-410F-B0A9-9A77E86D7A2D} - odbcmr32.dll (file missing)
[/code]

Надо дочистить реестр .Вот описание подобной модификации:
[url]http://www.sophos.com/virusinfo/analyses/trojspyul.html[/url]

Пришёл ответ от лаб Касперского :
[code]
avz00025.dta,
avz00027.dta - Rootkit.Win32.Delf.h

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

avz00026.dta

No malicious code was found in this file.
[/code]

Следуя описаниям удалил из реестра разделы
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCEMGR\
HKLM\SYSTEM\CurrentControlSet\Services\mcemgr\
Остальных разделов, как и файла obdwk.sys не оказалось - похоже их удалил DrWeb в прошлый раз (именно этот вирус ловлю скорее всего в одном и том же месте второй раз, надеюсь и последний.).
Никаких ошибок при запуске сейчас не происходит, обращений к интернету тоже уже нет. DrWeb Spider вирусную активность больше не детектит.
Большое спасибо за помощь. :)

Решил я после лечения проанализировать откуда этот вирус попал ко мне на компьютер и как это предотвратить в последующем.
Нашел в корне диска С два очень подозрительных файла - подозрительных тем, что я их сам там не создавал, а также странными названиями.
DrWeb при проверке говорит, что эти файлы читые. Проверил онлайн Касперским, на один он сказал Trojan-Downloader.Win32.VB.akr другой по его мнению опять же чистый.
Но все-таки файл с названием 3445643.exe непонятно кем созданный вызывает очень плохие подозрения, подозреваю все-таки, что это вирус, который не детектит ни DrWeb, ни Касперский.
Вопрос же в том, можно ли с этот файлик как-то гарантированно проверить - уж очень сильно он мне не нравится. Оба файла у меня есть, могу выложить.

Выкладывать можно только по правилам по ссылке [url]http://virusinfo.info/upload_virus.php?tid=9756[/url] в архиве zip с паролем virus

вирусные аналитики посмотрят и будет вам счастье ;)

Выложил по указанной ссылке в соответствии с правилами.

[QUOTE]вирусные аналитики посмотрят и будет вам счастье [/QUOTE]
Очень надеюсь. :) А то я уже вплотную занялся установкой обновлений, настройкой файерволлов и антивирусов. :)

PS: Еще один вопросик. А можно ли еще проверить один сайт (ссылку пока не выкладываю). Сайт очень полезный, но есть подозрение, что на нем некоторое время жил злобный вирус (а может и живет - заходить как-то боязно). Просто раньше, когда я на него заходил - у меня компьютер хотел перегружаться. А потом появились проблемы с вирусами.

[QUOTE]PS: Еще один вопросик. А можно ли еще проверить один сайт (ссылку пока не выкладываю). Сайт очень полезный, но есть подозрение, что на нем некоторое время жил злобный вирус (а может и живет - заходить как-то боязно). Просто раньше, когда я на него заходил - у меня компьютер хотел перегружаться. А потом появились проблемы с вирусами.[/QUOTE]

Можна, только ссылку даваете не в кликательном виде, используйте тег [CODE].

[quote]Можна, только ссылку даваете не в кликательном виде, используйте тег [code].[/quote]

[code]http://all-transport.info[/code] - есть подозрение, что какое-то время назад в заглавной странице жил троян.

Ничего подозрительного я там не нашол.

Спасибо. Значит его оттуда уже извели. :)

[quote=e_aleks;110625]Выложил по указанной ссылке в соответствии с правилами.


Очень надеюсь. :) А то я уже вплотную занялся установкой обновлений, настройкой файерволлов и антивирусов. :)

PS: Еще один вопросик. А можно ли еще проверить один сайт (ссылку пока не выкладываю). Сайт очень полезный, но есть подозрение, что на нем некоторое время жил злобный вирус (а может и живет - заходить как-то боязно). Просто раньше, когда я на него заходил - у меня компьютер хотел перегружаться. А потом появились проблемы с вирусами.[/quote]

Лучше поздно чем никогда , фаэрвол- обязательно. Не компьютер , а склад гадости.
Эти 2 файла тоже удалить.
[url]http://virusinfo.info/showpost.php?p=110667&postcount=160[/url]
ответ от аналитика :
[code]
Здравствуйте,

3445643.exe_

Этот файл повреждён.

temp44e.exe_ - Trojan-Downloader.Win32.VB.akr

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Юрий Несмачный
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/

http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
http://www.kaspersky.com/helpdesk.html - техническая поддержка



> Attachment: 070518_220002_virus1_464de9a25cc52.zip
[/code]

[B]drongo[/B]
Очень признателен за помощь.

[QUOTE]Лучше поздно чем никогда , фаэрвол- обязательно. Не компьютер , а склад гадости. [/QUOTE]
В общем поставил Kaspersky Internet Security 6.0 - при первой проверке еще нашел скорее всего уже неактивный Trojan-PSW.Win32.LdPinch.byy и Trojan-Spy.Win32.Sters.ab Еще с какими-то целями был изменен файл hosts - нашел строку 127.0.0.1 (какое-то бессмысленное сочетание букв и цифр) - я её тоже потер. Насколько я понимаю эти трояны были опасны тем, что могут увести пароли с компьютера (или еще чем-то) - но вроде я их уже поменял.
Удивляет меня в этом только одно - как такое количество "зверей" попало на компьютер при включенном антивирусе и осталось незамеченным (антивирус обновлялся).

PS: Думаю чуть позже еще раз обращусь за помощью в лечении второго компьютера - а то, он тоже все время хочет подсоединиться к интернету которого нет, жутко тормозит, и часто вываливается в синий экран - DrWeb говорит, что он чистый.