Троян Win32/Injector.UB

Здравствуйте.
Паразит Win32/Injector.UB засел в системных файлах.
NOD определяет, типа блокирует и удаляет,но с кажой перезагрузкой оно вылазит вновь. Создает EXE.шники на диске -32dll.exe;-pp.exe;-bb.exe.... А тут НОД выдал что проводник стал порываться выйти в сеть через эти файлы - [I][U]04.08.2009 14:04:28 Фильтр HTTP файл [/U]:http:upload.<censored>.net/pp.exe[U] модифицированный Win32/Injector.UB троянская программа соединение прервано - изолирован MICROSOF-A59DE3\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.[/U][/I]
Логи выкладываю.
Надеюсь на помощь.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\sysmngsr32.exe','');
QuarantineFile('c:\windows\system32\sysmgr.exe','');
DeleteFile('c:\windows\system32\sysmgr.exe');
DeleteFile('c:\windows\sysmngsr32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9009965627-9781442670-047785138-9082\mwau.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Скрипт выполнил.
Логи выложил.
Карантин выслал.

такой [url]http://www.gmer.net/[/url] лог сделайте ...

скачал,сделал лог.

[QUOTE=BloodNik;442952]сделал лог.[/QUOTE]Вы на кнопку SCAN нажимали?

Да,вот лог Gmer со сканером.
32dll.exe так и появляется,хотя активности не проявлял,НОДом не блокировался сегодня.
Буквально сейчас, "реакция" на открытие Virus.info ,НОД выдал -

[I]05.08.2009 20:46:46 /файл C:\WINDOWS\System32\dllcache\ndis.sys\Win32/Protector.C вирус удален - изолирован\Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\svchost.exe.[/I]

[I]05.08.2009 20:47:10/файл C:\WINDOWS\System32\drivers\ndis.sys\Win32/Protector.C вирус \Ошибка при удаление - действие недоступно для этого типа объекта NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\svchost.exe.[/I]

И еще программулина стоит - SpywareTerminator - блокирует изменение в автозапускаемых файлах и пишет :
[I]Попытка изменения автозагрузки С:\Windiws\Sistem32\reader_s.exe - запрещен.[/I]

C:\WINDOWS\system32\47.scr - пришлите согласно приложения 2 праивил

выслал карантин с 47.scr

Со вчерашней ночи НОД молчит,но ехешники так и появляются.
Бывший 32dll.exe переименовался в load.ехе. активности не проявляет.
И в диспетчере задач так и остаётся процесс sysmngsr32.exe'.
Как его заблокировать навсегда,может подскажете?

SpywareTerminator удалите.
Код:
[CODE]gmer.exe -del file "C:\WINDOWS\system32\47.scr"
gmer.exe -reboot[/CODE]
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите двойным щелчком.

После перезагрузки:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Терминатора удалил.
Всё выполнил.
Зловредный /sysmngsr32.exe'/ переименовался в /sysmngsr322.exe'/ и продолжает упорно загружаться.
Логи и архивы выложил.

C:\WINDOWS\system32\Drivers\NDIS.sys - пришлите согласно приложения 2 правил

карантин выслал.

C:\WINDOWS\system32\Drivers\NDIS.sys - только при запуске AVZ,обнаруживает NOD32 этот файл,но удалить не может

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\sysmngsr322.exe');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\LZ8R3UPR\dis1coun[1].htm','');
QuarantineFile('C:\WINDOWS\OemDrv\W\NoM\nw01ndis.sys','');
QuarantineFile('c:\windows\sysmngsr322.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\System32\wscript.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\reader_s.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7655240147-0206914260-296364173-3289\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7655240147-0206914260-296364173-3289\mwau.exe');
DeleteFile('C:\Documents and Settings\NetworkService\reader_s.exe');
DeleteFile('C:\WINDOWS\System32\wscript.exe');
DeleteFile('C:\PROGRA~1\Crawler\ctbr.dll');
DeleteFile('c:\windows\sysmngsr322.exe');
DelBHO('{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Прочитайте [URL="http://virusinfo.info/showthread.php?goto=newpost&t=51654"]тут [/URL]и замените файл C:\WINDOWS\system32\Drivers\NDIS.sys
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

после выполнения скрипта на рабочем столе неработает ни один ярлык.
консоль восстановления подключил,делаю всё как написано в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=9"]описании[/URL] - но система не находит NDIS.sys ни на системном диске С,ни на диске с которого устанавливалась Винда.
sysmngsr322.exe' -из списка процессов исчес,но думаю не на долго. В папке WINDOWS - фалов типа 47. scr" море! 00 scr,05scr....и тд.
И еще новшество(( стало загружаться 3 копии браузера сразу -все ведут на страницу Гугла с поиском какой то рекламы....
Думаю система уже стабильно работать по попросту не сможет.
Переустановлю.
Спасибо всем за помощь!

[QUOTE=BloodNik;445836]
консоль восстановления подключил,делаю всё как написано в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=9"]описании[/URL] - но система не находит NDIS.sys ни на системном диске С, ни на диске с которого устанавливалась Винда.[/QUOTE]
А что у Вас за дистрибутив, позвольте полюбопытствовать?

WinXP_zver_xp3....
как то так, коробка утеряна.
вполне легальный диск,купленный в комп.магазине.

[QUOTE=BloodNik;445843]WinXP_zver_xp3....вполне легальный диск[/QUOTE]Зверь - легальный? А земля - плоская и на трёх китах лежит? ;)

[QUOTE=BloodNik;445843]купленный в комп.магазине.[/QUOTE]
:)
ну...простому юзверу что посоветовали спецы,то и купил))
уже всё, систему перебил, с другого дистрибутива,без всяких украшалок и наваротов,зато стабильно работает -ставил уже с него не один раз.
еще раз спасибо вам,хелперам! ваш труд бесценен и помощь реальная.
но иногда быстрее всё же перебить систему)

[QUOTE=BloodNik;445950]
но иногда быстрее всё же перебить систему)[/QUOTE]Вашими бы устами да мёд пить ... :thumbsup: