Прошу помощи

Где-то подхватил заразу. :huh:
Помогите выявить эту пакость, а она точно есть, и излечить компьютер. В соответствии с правилами выкладываю файлы.
[B][I]virusinfo_syscheck.zip[/I][/B] не оказалось. [B][I]virusinfo_syscheck.htm[/I][/B] есть, но длина нулевая.

И еще хотелось спросить вообще по обнаружению вирусов.
В корне обнаружил подозрительные файлы с расширением tmp и одинаковым размером 53 кб. Вот стоит на машине у меня бесплатный SpyWare Doctor от Symentec.
Вирус он пропустил, ну хорошо ... он бесплатный.
Потом запустил DrWeb CureIt, последний. Так он тож ничего не сказал.
На virustotal вирус в файлах обнаружли 30 из 32 антивирусов, включая DrWeb. Вот поясните мне почему так получается? :sad:
Ну и по конкретной проблеме конечно жду помощи. Спасибо.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\DOCUME~1\3BC0~1\LOCALS~1\Temp\jswmidin.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('C:\Temp\winlogon.exe','');
DeleteFile('C:\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('C:\WINDOWS\system32\drivers\KCOM.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\DOCUME~1\3BC0~1\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

P.S. BitAccelerator и ConnectionServices - это adware, деинсталлируйте их через Установка/удаление программ.

Файл сохранён как080113_062726_virus_478a03ae62cfc.zipРазмер файла12168MD5c10ff8104a347f689787a818ac719189

Хочу отметить один момент.
Я запускал лечение с флэшки. А на ней оказалось мало места.
Сперва я не заметил этого и файлы карантина получились с нулевым размером. (вероятно из-за отсутствия места не создался и один из фалов предыдущих логов). Я скопировал программу на жесткий диск и отослал файл карантина после повторного выполнения предложенного скрипта. Так что извиняюсь. :unsure:

А новые логи в данный момент выполняются. Будут чуточку позже

Все заведомо зловредные файлы были удалены скриптом, поэтому при повторном его выполнении в карантин попасть уже не могли. Жаль - не исключено, что среди них были новые модификации. Ну хоть secdrv.sys попал, он оказался чистым.

[quote=Bratez;171471]Все заведомо зловредные файлы были удалены скриптом, поэтому при повторном его выполнении в карантин попасть уже не могли. Жаль - не исключено, что среди них были новые модификации. Ну хоть secdrv.sys попал, он оказался чистым.[/quote]
Может оказаться что этого чистого файла система не досчитается?
Его можно восстановить из карантина?

И еще ... ночью я положил подозрительный файл в карантин.
Он единственный, но может чем то поможет.
Файл сохранён как080113_065940_virus_478a0b3c2ed08.zipРазмер файла12188MD543d3e036027838851138bf69f96ef69d

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=Bratez;171453]
[SIZE=1][COLOR=#666686][B][I]Добавлено через 5 минут[/I][/B][/COLOR][/SIZE]

P.S. BitAccelerator и ConnectionServices - это adware, деинсталлируйте их через Установка/удаление программ.[/quote]

Не подскажете насколько вредны могут оказаться эти программы.
Может от них пользы быть больше чем вреда? :cool:
Хотя я их и разинсталировал ...

[quote=-Алексей-;171473]Может оказаться что этого чистого файла система не досчитается?
Его можно восстановить из карантина?
[/quote]
Он-то как раз не удалялся, был просто скопирован для проверки.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=-Алексей-;171473]Не подскажете насколько вредны могут оказаться эти программы.
Может от них пользы быть больше чем вреда? :cool:
Хотя я их и разинсталировал ...[/quote]
Вред в принципе небольшой - закачка рекламы.
А пользы никакой, это уж точно :wink_3:.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[quote]И еще ... ночью я положил подозрительный файл в карантин.
Он единственный, но может чем то поможет.[/quote]
Хорошо, что прислали - свеженький...

Я рад, если помог вам, прислав файл.
Ну и теперь долгожданные логи (машинка у меня уже старенькая, скорости маловато) :smile:

Очистите временные файлы IE через Свойства Обозревателя.

Пришлите карантин, созданный при выполнении логов.

Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Ваш свеженький образчик только что классифицировали в ЛК как [b]Backdoor.Win32.Small.cqm[/b]. Поздравляю, вы тоже внесли свой вклад в пополнение антивирусных баз.

Файл сохранён как 080113_074800_virus_478a1690458d2.zip
Размер файла 188870
MD5 03c0e7462bcf710461e09ae229c8e80b
Это карантин.

Что касается служб, то мне сложно сказать о необходимости той или иной.
Думаю, что следующие службы не нужны:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
[/code]
Вот эти службы я в сомнении:
[code]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/code]
А вот эти думаю можно и оставить:
[code]
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/code]

Файлы в карантине чистые.

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Спасибо! Посмотрим как будет работать ...

"Спасибо" у нас говорят кнопочкой ;)

Все выполнил ... пока полет нормальный.
Но у меня есть еще вопрос.
После лечения у меня появляется постоянно ошибка после загрузки на ошибку чтения памяти процесса SDTrayApp.exe.
Да и комп подвисал так, что приходилось перегружать его жестко.
Я конечно понимаю, что он старенький, но есть возможность как-то почистить или оптимизировать его после лечения. И кроме того AVZ выдавал строки после проверки:
[code]>> Нарушение ассоциации SCR файлов
>> Таймаут завершения служб находится за пределами допустимых значений[/code]
Это возможно каким то образом поправить?

SDTrayApp - это Spyware Doctor, но в логах ваших я его не вижу.
Если он есть в списке установленных программ - удалите.
При наличии нормального антивируса подобные программы не нужны.

>> Нарушение ассоциации SCR файлов
>> Таймаут завершения служб находится за пределами допустимых значений
Лечится через AVZ: Файл - Мастер поиска и устранения проблем.

:sad: Мда, недолго радовался ...
Компьютер стал зависать, кроме ошибок Spyware Doctorа.
Последнего я наверное удалю после полного излечения.
В связи с этим хотел посоветоваться у специалистов из NOD32 или AVAST Home котороый более продвинутый?
Возвращаясь к теме заразы ... прилагаю логи
верне попытался ... но у меня исходящий трафик забит вирусом.
Поэтому не могу сказать что загрузилось, а что нет.
Прошу сообщить.

Повторно посылаю логи.
Похоже вирус у меня разослал немало себя :sad:
Сейчас заблокирова исходящий трафик, поставив аутпост

антивирус и фаервол поставить не позволяют религиозные убеждения ? ;)
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w32sys15.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('c:\temp\winlogon.exe','');
DeleteFile('c:\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_QrSvc('Usbserk2');
BC_DeleteSvc('FCI');
BC_DeleteSvc('DefLib');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Файл сохранён как 080114_130612_virus_478bb2a406401.zip
Размер файла 562890
MD5 be86651b425ac263f23975231dcfd405

А что касается религии, то просто хотел по честному все )))
Чтобы бесплатным пользоваться, типа Spyware Doctor ...

в карантине ...
c:\temp\winlogon.exe [B]Trojan-Proxy.Win32.Small.is[/B]
C:\WINDOWS\system32\DefLib.sys [B]Trojan.win32.Agent.asu[/B]
c:\windows\system32\svchost.exe:ext.exe:$DATA [B]Trojan.win32.Agent.dxq[/B]
C:\WINDOWS\system32\w32sys15.exe [B]TR/Dldr.Logsnif.1[/B]
C:\WINDOWS\system32\DRIVERS\secdrv.sys -чистый
повторите логи .....
насчет антивирусов .... из бесплатных Avira Antivir ... [url]http://www.free-av.com/index.htm[/url]

Новые логи