Неубиваемые трояны

Не убиваются следующие красавцы:
C:\WINDOWS\system32\ckeacke.dll - Win32/Delf.NFR
C:\WINDOWS\system32\ckeacke.dll.bak - Win32/Delf.NFR

Все намного хуже. Для лечения понадобиться осторожность и время.
Кстати, если бы базы антивируса были обновленыю, думаю такой проблемы бы не возникло.

0. На время запуска скрипта отключить антивирус.

1. Скачать Winsockxpfix. Понадобиться для дальнейшего лечения.
[url]http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html[/url]

2.В AVZ выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Osupov\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('mnqvberu.sys','');
QuarantineFile('C:\WINDOWS\system32\ylqiceqr.dll','');
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
QuarantineFile('C:\WINDOWS\system32\ovaqpujj.dll','');
QuarantineFile('C:\WINDOWS\system32\omdaccrn.dll','');
QuarantineFile('C:\WINDOWS\system32\gypbzlek.dll','');
QuarantineFile('C:\WINDOWS\system32\ckeacke.dll','');
BC_DeleteFile('C:\DOCUME~1\Osupov\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать карантин (ссылка вверху темы).

Cпасибо!
Все сделала по написанному.
А окна с уведомлением о вирусах больше не появляются:).

Прошу прощения - в первый раз не всё правильно сделала. Сейчас, кажется, всё в соответствии с требованиями.

Размер карантина очень велик, буду смотреть вечером. М.б. кто посмотрит раньше...

Спасибо!

C:\WINDOWS\system32\ylqiceqr.dll - Trojan.Sentinel (Dr.Web)
C:\WINDOWS\system32\rsvp32_2.dll - Trojan.Win32.Pakes (KAV)
C:\WINDOWS\system32\ovaqpujj.dll - Trojan.Win32.Delf.zj (KAV)
C:\WINDOWS\system32\omdaccrn.dll - вредительства не найдено (похоже, новый)
C:\WINDOWS\system32\gypbzlek.dll - вредительства не найдено (похоже, новый)
C:\WINDOWS\system32\Drivers\mnqvberu.sys - в карантин не попал (CopyStatus=C0000022)
C:\WINDOWS\system32\ckeacke.dll - в карантин не попал (CopyStatus=C0000034)

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ylqiceqr.dll');
DeleteFile('C:\WINDOWS\system32\ovaqpujj.dll');
DeleteFile('C:\WINDOWS\system32\omdaccrn.dll');
DeleteFile('C:\WINDOWS\system32\gypbzlek.dll');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll');
DelSPIByFileName('rsvp32_2.dll',true);
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
ExecuteSysClean;
AutoFixSPI;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Если нарушится связь с интернетом, используйте скачанную утилиту WinsocksFix.

Сделайте новые логи.

Скрипт не выполняется:
Ошибка скрипта: Incompatible types: 'Boolean', 'String', позиция [9:40]
Что делать?

Поправил. Повторите скрипт.

Сделала. И с помощью WinsocksFix. Теперь для подключения к интернету требуют "регистрацию на прокси-сервере". Это как?

Сейчас логи пришлю.

winsockfix возвращает стандартные настройки. Кто вам в начале интернет настраивал ? Сомневаюсь что сами.

Это точно, не сама!

Новые логи:

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing)
O2 - BHO: (no name) - {7B1CB0AE-C7C9-4F91-BB78-EE218C7E1E4C} - c:\windows\system32\iuttwexv.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Osupov\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syskrnl3.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mnqvberu.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.

Есть новый карантин по правилам!

Карантин пуст. Хотя оба эти файла 100% существуют.
Попробуйте загрузиться в безопасном режиме и найти эти файлы вручную, как написано в приложении 2 правил.
C:\WINDOWS\system32\syskrnl3.exe
C:\WINDOWS\system32\drivers\mnqvberu.sys

Прошу прощения - найти и удалить?

Извините за дурацкий вопрос, прочитала и поняла.

Найти и скопировать, положить в zip с паролем virus и отправить карантин по правилам.

Я отправила сейчас один архив, но без пароля. У него подозрительно маленький размер. А сейчас попыталась найти вручную, без помощи AVZ и заархивировать. Но, опять же, копируется только один файл - syskrnl3. Надо ли прислать этот архив?

[QUOTE]Надо ли прислать этот архив?[/QUOTE]
Давайте.

Присылайте.
Но лучше это делать через AVZ. Там архивируется сразу с паролем.
Если AVZ не добавляет, значит файл найден в базе безопасных.

Отправила

Ух какая зверушка попалася - [B]Trojan-PSW.Win32.LdPinch.bex[/B] ;)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\syskrnl3.exe');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
После этого на всякий случай попробуйте еще раз закарантинить
C:\WINDOWS\system32\drivers\mnqvberu.sys
из безопасного режима.
Также почистите временные файлы интернета в IE.
И логи придется еще раз сделать.

А в безопасном режиме делать скрипт или всё равно?

Все равно.

Рада была доставить профессиональную радость!
Но файл по-прежнему не карантинится. Отправляю полученный архив, но там, по-видимому, ничего нового.

и раз пинча подхватили, то желательно сменить пароли,от почты,icq,платёжных систем,т.к его задача как раз воровство паролей ;)

Временные файлы удалила, логи сделала (во время работы AVZ, при запуске 2-го скрипта "Скрипт лечения \ карантина и сбора информации для раздела "помогите!..."" опять вылезали сообщения от NODа - о вирусах).

[QUOTE]опять вылезали сообщения от NODа - о вирусах[/QUOTE]
Вообще-то при выполнении скриптов полагается отключать антивирус...
А сообщения случайно были не про [B]ckeacke.dll [/B]??
В HijackThis его строки как будто не пофикшены,
и ckeacke.dll.bak не удалился. Что-то здесь нечисто.
Да еще драйвер этот некарантинящийся! Надо подумать.

Простите бедного музыканта!.. :embarasse
Впредь буду (и до того старалась..) выполнять всё по правилам.

Не могу точно сказать, по поводу каких файлов высказывался антивирус, - только то, что их было 2 разных.

Кстати, у вас не обновлены базы AVZ, это не порядок!
Давайте сделаем так:
1. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing)
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing)
[/code]
2. Обновите базы AVZ.
3. Сделайте логи еще раз.

Может что-то и выяснится, тогда уже будем принимать решение.

Эти двое - O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing) и
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing) не фиксятся, все остаются на местах.

А логи сделала. С обновленным AVZ.

У меня папочка образовалась - с названием Infected. Архив прислать?

[QUOTE]У меня папочка образовалась - с названием Infected. Архив прислать?[/QUOTE]
Если это в папке AVZ, то не надо.
Все-таки этот загадочный драйвер надо удалять. Других зацепок просто нет.
Но все же сделаем последнюю попытку его закарантинить.

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('bsgskays');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки второй:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll');
BC_ImportDeletedList;
BC_DeleteSvc('bsgskays');
BC_DeleteFile('C:\WINDOWS\system32\drivers\mnqvberu.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите.
Снова попробуйте пофиксить те две строчки.
И опять новые логи (ничего не поделаешь, надо значит надо ;))

Строчки по-прежнему не фиксятся. Новые логи сделала, карантин тоже. AVZ написал, что вредоносных программ нет.

Карантин пуст. На будущее: если в нем только ini-файлы, то высылать не надо.
@Bratez [url]http://www.sophos.com/security/analyses/trojdelfeqt.html[/url] -
вот такое описалово нашлось. Файлик основной, правда по-другому зовется, но очень похоже на наш случай.

Учту все пожелания, спасибо!
То есть, на данный момент с вирусами покончено?