Backdoor.Win32.IRCBot.wt

Я никогда раньше с вирусами не боролся, если возникали проблемы просто пнреустанавливал Винду, но так случилось что сейчас этого делать нельзя.
Этого зверя я высветил KAV 6.0, Web его не видит, при этом находит его два раза и постоянно висит два таких процеса: mswsgs.exe
Каспер говорит что для удаления вируса нужно перезагрузить компьютер, но после перезагрузки вирус появляется снова.
Создать заявку согласно правил не получилось:'-(, при обновлении баз AVZ выскакивает следующее:
"Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновления avzupd.zip c http//z-oleg.com/secur/avz_up/[21,00000002]"
Помогите пожалуйста.

[url]http://virusinfo.info/showthread.php?t=1235[/url]
[url]http://z-oleg.com/avz4.zip[/url]
[url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] - скачайте вручную архив с обновлениями и распакуйте в нужное место .

Наконецто закончил диагностику (правда у меня вызывает сомнение лог от HIJACK, но ничего другого не сохранилось)

[B][COLOR="Red"]Вместо virusinfo_cure.zip должен быть virusinfo_syscheck.zip.[/COLOR][/B]

Зловред видимо есть ... выполните скрипт AVZ и пришлите попавшие в карантин файл согласно правилам:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\hggdbcb.dll','');
QuarantineFile('C:\WINDOWS\System32\mljgd.dll','');
QuarantineFile('C:\WINDOWS\System32\vlufhoiv.dll','');
QuarantineFile('sfvfs02.sys','');
QuarantineFile('snapman.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\System32\mswsgs.exe','');
QuarantineFile('c:\windows\system32\mswsgs.exe','');
end.
[/code]

Может дело в кривизне моих рук или я неправильно понял инструкцию " во время лечения" но в карантине ничего нет и в папке лог только это. (проверял раз 5, при этом комп регулярно вис>:()

Мне кажется дошло что нужно было сделать... (лучше позно чем никогда:))

@Demien
Читаем вместе п.10:
[quote]10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве [B]virusinfo_syscheck.zip[/B].[/quote]
[QUOTE]Мне кажется дошло что нужно было сделать..[/QUOTE]
[B][COLOR="Red"]Нет.[/COLOR][/B] Вирус надо не [B][COLOR="Red"]подвешивать[/COLOR][/B] к теме, а [COLOR="Red"][B]закачать [URL="http://virusinfo.info/upload_virus.php?tid=10451"]тут[/URL].[/B][/COLOR]
FYI: с такой системой
[CODE]Platform: Windows XP [COLOR="Red"]SP1[/COLOR] (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 [COLOR="Red"]SP1[/COLOR] (6.00.2800.1106)[/CODE]
Вам придётся абонировать в форуме выделенный канал для постоянных клиентов ;)

Файл c:\windows\system32\mswsgs.exe - это троян, его следует удалить отложенным удлением AVZ или, что лучше, выполнить скрипт:
[code]
begin
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\mswsgs.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]

[quote=Rene-gad]@Demien
Читаем вместе п.10:[quote]10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.[/quote][/quote]

по этой схеме я сканировал машину раз 7 минимум, все что было в папке LOG я прислал, возможно дело в том что програма не захотела обновляться автоматически и мне пришлось делать это в ручную....

[b]Зайцев Олег[/b], огромное вам спасибо! Я наконецто избавился от этой заразы (если верить касперу;))

Но похоже это не все:embarasse, в процессах появился какойто a.exe
и машина продолжает переодически виснуть...

И еще вопрос: как быть с обновлением системы которое я отключил в процесе диагностики?

[QUOTE=Demien;116389][b]Зайцев Олег[/b], огромное вам спасибо! Я наконецто избавился от этой заразы (если верить касперу;))

Но похоже это не все:embarasse, в процессах появился какойто a.exe
и машина продолжает переодически виснуть...

И еще вопрос: как быть с обновлением системы которое я отключил в процесе диагностики?[/QUOTE]
О каком обновлении системы идет речь ? В правилах говорится об отключении восстановления системы, а не обновления. Нужны новые логи чтобы установить, что за новый процесс и откуда он взялся ... Firewall на компьютере установлен и настроен ? Если нет, то процесс лечения будет бесконечным ...

Перед созданием новых логов пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\vlufhoiv.dll (file missing)
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
O2 - BHO: (no name) - {CBBD4BC0-2668-4DF5-AA21-6C14F7554225} - C:\WINDOWS\System32\mljgd.dll (file missing)
O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\hggdbcb.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O20 - Winlogon Notify: hggdbcb - C:\WINDOWS\
O20 - Winlogon Notify: mljgd - C:\WINDOWS\
[/code]

Прошу прощения, я ошибся. Я действительно имел ввиду восстановление системы.

На компе установлен KAV 6.0 (демо версия).... достаточно этого или нет я не знаю... буду признателен за консультацию по этому вопросу

[QUOTE]На компе установлен KAV 6.0 (демо версия).... достаточно этого или нет я не знаю[/QUOTE]Нет. Нужно ставить сторонний файрвол.

[QUOTE=MaXim;116395]Нет. Нужно ставить сторонний файрвол.[/QUOTE]

например?

Отвечу ссылкой [url]http://virusinfo.info/forumdisplay.php?f=40[/url]

Фаервол - это хорошо, но, как уже заметил коллега [B]Rene-gad[/B], первым и главным мероприятием для укрепления безопасности должна быть установка SP2 и последующих обновлений Windows, иначе и фаервол может не помочь. Но прежде надо закончить лечение. Ждем логи.

[QUOTE=Bratez;116392]Перед созданием новых логов пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\vlufhoiv.dll (file missing)
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
O2 - BHO: (no name) - {CBBD4BC0-2668-4DF5-AA21-6C14F7554225} - C:\WINDOWS\System32\mljgd.dll (file missing)
O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\hggdbcb.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O20 - Winlogon Notify: hggdbcb - C:\WINDOWS\
O20 - Winlogon Notify: mljgd - C:\WINDOWS\
[/code][/QUOTE]

гм... я сегодня в первый раз увидел HIJACK, не могли бы вы по подробней обьяснить куда именно прописать этот скрипт и как это сделать.

Как нынче модно говорить, фтыкать тут: ;)
[URL="http://virusinfo.info/showthread.php?t=4491"]Что значит "пофиксить с помощью HijackThis"? [/URL]

пофиксил все кроме этих строк:
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe

их просто небыло в списке

а что касается Firewall, то ставить я его начну сегодня же. как только определюсь какой:)

Посылаю логи (на этот раз те что нужно:))

Отлично, теперь в логах чистота и порядок ;)
Единственно - если вы сами не ставили какие-либо ограничения пользователю в IE, то сделайте в AVZ: Файл - Восстановление системы - отметить п.6 - выполнить.

Огромное, человеческое спасибо всем, кто проявил внимание к моей проблеме!

Я не прощаюсь, мне у вас понравилось;).

P.S. Пошел устанавливать Firewall