Вирусный букет((

Printable View

23.03.2011, 18:37
Zebra_Kot

Вирусный букет((

При загрузке ОС (долго загружается, имеет классический вид оформления (выбора другого варианта попросту нет)), отсутствуют сетевые подключения. Хотел поставить Касперского и снести Comodo в момент установки/ удаления с компьютера программ пишет: нет доступа, возможно компьютер работает в защищенном режиме. Пишу это сообщения из безопасного режима с поддержкой сетевых драйверов. В процессах были видны very32.exe и gwdrive32.exe.

[ATTACH]304833[/ATTACH]
[ATTACH]304834[/ATTACH]
23.03.2011, 21:23
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Cmex\bnt.exe','');
QuarantineFile('C:\WINDOWS\system32\vyre32.exe','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\WINDOWS\system32\44.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\system32\vyre32.exe','');
TerminateProcessByName('c:\windows\system32\vyre32.exe');
DeleteFile('c:\windows\system32\vyre32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wors');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\vyre32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
24.03.2011, 18:33
Zebra_Kot

Проделал все вышеуказанные манипуляции, но увы, обычная рабочая среда все так же не подающая признаков жизни, нет ни звука, ни сетевых драйверов, вринципи в деспетчере устройств нет ничего, пусто.((
25.03.2011, 06:53
polword

1. [URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\vyre32.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFileMask('c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] оставшееся из этого
[CODE]
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.

Folders Infected:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Files Infected:
c:\documents and settings\Cmex\bnt.exe (Malware.Generic) -> No action taken.
c:\documents and settings\Cmex\msc.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Cmex\wors.exe (Malware.Generic) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\81IBW1MF\ms0593[1].exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\81IBW1MF\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\HR1BLD5F\cut[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\ML6L66IX\bnet[1].exe (Malware.Generic) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\SPAX61YD\myms[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[2].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[3].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[4].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[5].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\G1UBOLAN\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\G1UBOLAN\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KTMJ4XI3\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KTMJ4XI3\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор.undergro-d69df3\bnt.exe (Malware.Generic) -> No action taken.
c:\documents and settings\администратор.undergro-d69df3\cdir.exe (Malware.VB.Gen) -> No action taken.
c:\documents and settings\администратор.undergro-d69df3\msc.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор.undergro-d69df3\wors.exe (Worm.Palevo) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00001.dta (Malware.Generic) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00002.dta (Malware.VB.Gen) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00003.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00004.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00005.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00006.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00007.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00008.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00009.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00010.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00011.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00012.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00013.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00014.dta (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00015.dta (Worm.Palevo) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00016.dta (Trojan.Agent) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\avz00017.dta (Malware.Generic) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\bcqr00001.dat (Malware.Generic) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\bcqr00002.dat (Malware.Generic) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\bcqr00027.dat (Trojan.Downloader) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-24\bcqr00028.dat (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\08.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\20.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\82.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\83.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\87.exe (Trojan.Downloader) -> No action taken.
[/CODE]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
25.03.2011, 12:09
Zebra_Kot

Все так же глухо, но, кажется вирье *кануло в лета*. Есть еще один вопрос, ведь без разницы на каком аккаунте (администратор/тот который создавал я), проводить сканирование/лечение и режиме (безопасный или нет)?
27.03.2011, 12:28
thyrex

В нормальном режиме логи сделать не можете?
27.03.2011, 12:55
Zebra_Kot

[QUOTE=thyrex;778139]В нормальном режиме логи сделать не можете?[/QUOTE]
Могу, это был вопрос чисто из любознательности))
27.03.2011, 13:10
thyrex

Логи нужно делать из [B]проблемной[/B] учетки в [B]нормальном[/B] режиме. Какие проблемы остались?
27.03.2011, 14:21
Zebra_Kot

Проблемы, к сожалению, которые и были: на всех аккаунтах very32.exe и gwdrive32.exe. В диспетчере устройств по прежнему нет отображения устройств (т.е. не только отображение, но и в принципе они отсутствуют, видео, звук, сетевые и т.п., создание нового аккаунта никак не избавило от проблемы, х[B]отя вот в безопасном режиме все "нормально работает", т.е. все устройства (видны) работают, но вот с вирусами туговато[/B]).
27.03.2011, 14:54
thyrex

Обновления для системы установили?

Сделайте все логи (включая лог МВАМ) под одной из учеток в [B]нормальном[/B] режиме
29.03.2011, 12:55
Zebra_Kot

Да, обновления установлены, но признаков улучшения состояния*больного* не наблюдается((
29.03.2011, 13:13
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Cmex\hddd.exe','');
QuarantineFile('C:\Documents and Settings\Cmex\bnt.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\71.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\system32\37.exe','');
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\vyre32.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
TerminateProcessByName('c:\windows\wjdrive32.exe');
QuarantineFile('c:\windows\wjdrive32.exe','');
QuarantineFile('c:\documents and settings\cmex\hddd.exe','');
DeleteFile('c:\documents and settings\cmex\hddd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\vyre32.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\Documents and Settings\Cmex\bnt.exe');
DeleteFile('C:\Documents and Settings\Cmex\hddd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFileMask('C:\Documents and Settings\Cmex\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Cmex\Local Settings\Temporary Internet Files\Content.IE5');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] что останется из этого
[CODE]
Заражённые процессы в памяти:
c:\documents and settings\Cmex\hddd.exe (Malware.Generic) -> 1896 -> No action taken.
c:\WINDOWS\wjdrive32.exe (Trojan.Agent) -> 1532 -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced HTTPL Enable (Malware.Generic) -> Value: Advanced HTTPL Enable -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vyre32 (Malware.VB.Gen) -> Value: vyre32 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Malware.Generic) -> Value: Tnaww -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Config Setup (Trojan.Agent) -> Value: Microsoft Config Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Trojan.Agent) -> Value: Microsoft Config Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Malware.Generic) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\documents and settings\Cmex\hddd.exe (Malware.Generic) -> No action taken.
c:\WINDOWS\system32\vyre32.exe (Malware.VB.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Malware.Generic) -> No action taken.
c:\documents and settings\Cmex\hdcd.exe (Malware.Generic) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\06YM1NS8\cut[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\BIXJ7CR8\serv8[1].exe (Malware.Generic) -> No action taken.
c:\Vir\Avz\Infected\2011-03-29\avz00001.dta (Worm.Palevo) -> No action taken.
c:\Vir\Avz\Infected\2011-03-29\avz00002.dta (Worm.Palevo) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-30\avz00001.dta (Malware.Generic) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-30\avz00013.dta (Malware.VB.Gen) -> No action taken.
c:\Vir\Avz\quarantine\2011-03-30\avz00017.dta (Malware.Generic) -> No action taken.
c:\WINDOWS\wjdrive32.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\ggdrive32.exe (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe (Worm.AutoRun.Gen) -> No action taken.
[/CODE]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
29.03.2011, 21:06
Zebra_Kot

Вирусная активность не наблюдается, но, иногда появляется на диске С файл с именем "asetup" (блин, почему то я о нем каждый раз забывал упоминать, весит он 32.4 КБ). С загрузкой винды (в любом режиме) просто "загружаются" мои документы, хотя в автозагрузке ничего нет, и с помощью CCleaner ничего подобного нет.
В обычном режиме не удается включить самое простое брандмауэр, пишет, что служба не доступна, чего уж говорить о сетевых подключениях, т.е. в диспетчере задач написано "сеть" что скорость подключения 100м\б но вот в сетевых подключениях не отображается, не работает svchost.exe (клацал по нему в system32 - ноль реакций), в диспетчере устройств все так же пусто, но работает видеокарта, как узнал? - запустил игру, да и перемещается по экрану открытое окно плавно, а вот со звуком, увы (но это не страшно).

p.s. Может убить эту форточку и поставить новую? мы больше мучаемся, чем я бы расставлял ярлычки на рабочем столе, или устанавливал софт (сказано грубо конечно, но..).
30.03.2011, 07:11
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\winlogon.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
30.03.2011, 12:47
Zebra_Kot

Карантин загрузил и еще (извиняюсь за назойливость) хотел поинтересоваться в связи с тем, что в безопасном режиме с поддержкой сетевых драйверов нет тех проблем, которые я описал выше, возможно ли прислать вам лог или еще что (я даже не знаю, вдруг, что-то отключено), или куда обратиться, в какую тему/раздел? К примеру, когда открываю сетевые подключения, появляется сообщение: “Не удается поместить список сетевых устройств компьютера в папку “Сетевые” подключения». Проверьте, что служба сетевых подключений включена и выполняется.”, хотя в самом же диспетчере устройств отчетливо видно, что подключение есть.
31.03.2011, 12:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]73[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\cmex\\bnt.exe - [B]Trojan-Downloader.Win32.Small.btqd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5736062, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\documents and settings\\cmex\\bnt.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Win32.HLLW.Autoruner.37980, BitDefender: Trojan.Generic.KDV.165240, AVAST4: Win32:Ruskill-BO [Trj] )[*] c:\\documents and settings\\cmex\\hddd.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5821796, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Crypt-IWU [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - [B]Backdoor.Win32.Floder.by[/B] ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5964447, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Ruskill-BN [Trj] )[*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Win32.HLLW.Autoruner.37980, BitDefender: Trojan.Generic.KDV.165240, AVAST4: Win32:Ruskill-BO [Trj] )[*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Trojan-Downloader.Win32.Small.btqd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5736062, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\ggdrive32.exe - [B]Backdoor.Win32.Floder.ds[/B] ( DrWEB: Trojan.DownLoader2.25012, BitDefender: Trojan.Generic.6262456, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\umdmgr.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.MulDrop2.12720, BitDefender: Worm.Generic.321675, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\vyre32.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Generic.5719172, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\vyre32.exe - [B]Trojan-Downloader.Win32.VB.ahfg[/B] ( DrWEB: BackDoor.Siggen.28690, BitDefender: Gen:Trojan.Heur.ZGY.5, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:VB-SIC [Trj] )[*] c:\\windows\\system32\\01.exe - [B]Backdoor.Win32.Floder.by[/B] ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\03.exe - [B]Backdoor.Win32.Floder.by[/B] ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\06.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\11.exe - [B]Backdoor.Win32.Floder.df[/B] ( DrWEB: Win32.HLLW.Autoruner1.18183, BitDefender: Gen:Variant.Tofsee.1, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\13.exe - [B]Backdoor.Win32.Floder.dp[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\14.exe - [B]Backdoor.Win32.Floder.by[/B] ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\15.exe - [B]Backdoor.Win32.Floder.by[/B] ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\26.exe - [B]IRC-Worm.Win32.Small.ke[/B] ( DrWEB: Win32.HLLW.Autoruner.47212, BitDefender: Worm.Generic.314784, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\35.exe - [B]Backdoor.Win32.Floder.dp[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\36.exe - [B]IRC-Worm.Win32.Small.ke[/B] ( DrWEB: Win32.HLLW.Autoruner.47212, BitDefender: Worm.Generic.314784, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\37.exe - [B]Backdoor.Win32.Floder.ge[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.167915, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\38.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\40.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\44.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\48.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\52.exe - [B]Backdoor.Win32.Floder.di[/B] ( DrWEB: Win32.HLLW.Autoruner1.4432, BitDefender: Trojan.Generic.5719250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\56.exe - [B]Backdoor.Win32.Floder.dp[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\60.exe - [B]Backdoor.Win32.Floder.dp[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\71.exe - [B]IRC-Worm.Win32.Small.ke[/B] ( DrWEB: Win32.HLLW.Autoruner.47212, BitDefender: Worm.Generic.314784, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\78.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\86.exe - [B]Backdoor.Win32.Floder.df[/B] ( DrWEB: Win32.HLLW.Autoruner1.18183, BitDefender: Gen:Variant.Tofsee.1, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\88.exe - [B]Backdoor.Win32.Floder.cc[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\wjdrive32.exe - [B]Backdoor.Win32.Floder.dq[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5715865, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\wjdrive32.exe - [B]Backdoor.Win32.Floder.ck[/B] ( DrWEB: Trojan.DownLoader2.24144, BitDefender: Trojan.Generic.KDV.166037, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )[/LIST][/LIST]