Зараза

В последние дни браузер Maxthon стал часто зависать, все время самопроизвольно открывалось окно IE с адресом [URL="http://www.clic-tone.com"]www.clic-tone.com[/URL], диспетчер показывал наличие 3-4 неубиваемых процессов iexplorer, а последние 2 дня динамик стал издавать продолжительные 2-тональные сигналы типа сирены. Установлен AVP. Попытки почистить компьютер с его помощью, а также с помощью Ashampoo AntiSpyWare и Spybot, давали какие-то кратковременные результаты. Времени на переписку с Вами не было и вчера сделал восстановление системы в безопасном режиме (по-другому не получалось). Сейчас вроде все нормально. К сожалению, никаких логов у меня нет. Вопрос:
1. Правильно ли я сделал
2. Что это могло быть
3. Как правильно поступать в будущем
4. Какая защита наиболее пригодна (AVP, Ashampo и Spybot не справились)
PS. Часто появлялись сообщения AVP об активности Ref Spam Meet Body/MfcdFree.exe
Есть файл C:\WINDOWS\system32\drivers\etc\host. На мой взгляд, его просто изнасиловал кто-то типа "added by CiD". В C:\Documents and Settings\All Users\Application Data были 2 папки типа Ref Spam Meet Body и Bin Locks Dupe

[URL="http://virusinfo.info/showthread.php?t=1235"]Выполнить[/URL]

Вы считаете, что есть смысл, ведь сейчас все работает внешне нормально?

С Ваших слов невозможно точно узнать что твориться в Вашей системе сейчас. Сказать точно смогу только после того как будут логи.

OK, сделаю

Все сделал

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
QuarantineFile('c:\windows\system32\lexpps.exe','');
QuarantineFile('C:\WINDOWS\web\related.htm','');
QuarantineFile('C:\WINDOWS\ANKER.SCR','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe','');
QuarantineFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe','');
QuarantineFile('C:\Bosch ESI\ESItronic\KTS500\ph_test.exe','');
QuarantineFile('C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll','');
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите".

[quote=MaXim;100157][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [code]O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
[/code] Пришлите файлы карантина по правилам раздела "Помогите".[/quote]
Сделал, но нет уверенности, что сделал правильно. Имелись ввиду файлы карантина AVZ?

Подумал и решил, что может еще нужны логи HijackThis. Ведь не зря же надо было сделать "После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis"
Лог hijackthis_2 получен после сканирования системы, а hijackthis_3 - после выполнения операции "Fix checked"

Ну вот, только отправил предыдущее сообщение и компьютер опять начал издавть 2-тональный сигнал типа полицейской сирены. Можно ли перезапустить его для избавления от этого воя?

[QUOTE]Имелись ввиду файлы карантина AVZ?[/QUOTE] Да.

Звери вроде есть у вас, а по поводу "сирены" - это железная проблема. Проверьте, крутится ли вентилятор на процессоре.

Подергал разъемы на материнке и звук пропал. Может быть его причиной был вовсе не вирус? Посмотрим дальше, но бездействие системы с момента появления звука сохраняется 90-95%. Вентилятор на процессоре мне пока недоступен из-за блока питания. Позже разберу и посмотрю.

Сообщите, пожалуйста, как там мои вирусы?

Сообщите пожалуйста, куда вы дели файлы карантина?
[url=http://virusinfo.info/upload_virus.php?tid=8458]Нужно было сюда[/url], ссылка на тему [url]http://virusinfo.info/showthread.php?t=8458[/url], согласно приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]Правил[/url]

Отправил повторно

В присланном были не все запрошенные. Те, что прислали - чистые.
Попробуйте теперь так.
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
BC_QrFile('c:\windows\system32\tcpsvcs.exe');
BC_QrFile('C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe');
BC_QrFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe');
BC_QrFile('C:\Bosch ESI\ESItronic\KTS500\ph_test.exe');
BC_QrFile('C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки файл карантина вышлите и прикрепите сюда файл boot_clr.log.

Результат загрузки
Файл сохранён как 070322_222934_virus 2007-03-22_4602d91e272e1.zip
Размер файла 467610
MD5 6c6fb9a7cfa27424408401feff300163

Обращаю еще раз Ваше внимание: наличие вирусов (?) было очевидно только до отката системы. Сейчас, на мой взгляд, все нормально, хотя иногда KAV сообщает о запуске каких-то не совсем понятных процессов.

Те файлы, что попали в карантин чистые :) Остальные Вам придется вылавливать вручную. Перезагрузите компьютер в режим Safe Mode. О таом как это сделать написанно [URL="http://www.kaspersky.ru/support/kav6mp2/tech?qid=180593101"]здесь[/URL] Вам нужно включить настройку "показывать скрытые и системные файлы". В проводнике это делается так:
[B]Мой компьютер - Сервис - Свойство папки Вид - Скрытые файлы и паки - Показывать скрытые файлы и папки[/B]. Ищите вручную файлы
[QUOTE]C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe
C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll[/QUOTE]
Копируете эти файлы в отдельную папку. Перезагружаетесь в обычный режим. Архивируете паку в которую копировали эти файлы под пароль [B]virus[/B] и присылаете архив к нам по правилам раздела.

C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch

C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp