Однозначно вирусы

Здравствуйте!
Недавно начались аномалии с компом, обнаружение процессов svchost.exe от имени пользователя, загрузка им ЦП по 25 % и т. д. Давно хотел написать тут, но все время справлялся стандартной инструкцией с проверкой системы MBAM, CureIT! и AVZ + пользовалься своей Авирой, каждый находил по 1-7 подозрительных файлов и удалял/помещал в карантин, и вроде все проблемы решились, svchost.exe от имени пользователя пропал, систему ничего не грузит, но вчера начались новые "приключения".
Сначала у меня просто грохнулся браузер Mozilla, после открытия которого все мои 100500 вкладок были закрыти, осталась лишь одна - что то вроде mail.ru/?ffsputnik=1. Проблема уже в том, что я никогда не захожу на mail. Ладно, далее в диспетчере задач обнаружил 2 svchost.exe от имени пользователя, оба жрали по 25 %, сейчас при запуске компа только 1 так активно себя проявляет. Через Process Explorer обнаружил, что у одного из этих svchost.exe есть подпроцесс avconfig.exe. Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд. CureIT!, avz и MBAM ничего не нашли, авира нашла какие-то 2 файла во временной папке и добавила их в карантин. На днях, кстати, она же нашла некий файл Photo.class и так же отправила в карантин.

Уважаемый(ая) [B]TommyeAsY[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте. avira выгружали при работе AVZ? Если нет, то лог нужно переделать.
[QUOTE]Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд[/QUOTE]
это работа AVZ, ничего страшного.

[QUOTE=миднайт;874727]Здравствуйте. avira выгружали при работе AVZ? Если нет, то лог нужно переделать.[/QUOTE]
Точно не помню, сделал новый лог с полностью отключенной авирой.

Другой лог делал в безопасном режиме, и, соответственно, с выгруженной авирой.

В AVZ выполните скрипт:

[code]
var StartupFolder:string;
begin
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(StartupFolder + '\gTDwR7qlo2A.exe','');
DeleteFile(StartupFolder + '\gTDwR7qlo2A.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
[/code]


Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]

Все сделал, кроме лога MBAM. После скрипта процессы svchost.exe от имени пользователя исчезли. Провожу полную проверку MBAM.

Сделал лог, нашел 3 файла, 1 карантин, а два других я уже удалял ранее. Убить их снова?

Удалите все что нашел mbam, перегрузитесь, повторите сканирование mbam.

Пока ждал ответ, удалил 2 файла, оставив карантин. Сделал лог полного сканирования, помимо карантина еще что-то нашел во временной папке, удалил сейчас и его и перезагрузился, снова поставлю MBAM на сканирование. Помимо этого, не стал отключать авиру на момент проверки + повысил уровень безопасности, пока MBAM сканировал весь комп, авира пожаловалась на еще один файл временной папки:
[QUOTE]09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
[ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
[ИНФО] У Вас нет прав для доступа к файлу.
09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
[ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
[ИНФО] У Вас нет прав для доступа к файлу.[/QUOTE]
Кстати, стал замечать новые папки со странными названиями на диске C: K6OnBf903MeGJaw, kBawvXSGcz0hr5h, mVgh5wdcjNjmTYr и qUecbDfhmvgQ6DL, в первой есть файл bplglstcch.cache размером 377 КБ, в трех других по 2 файла: klpclst.dat и wndsksi.inf, оба по 1 КБ, .inf файл скрытый.

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Done
MBAM после ребута еще раз просканил весь комп, ничего не нашел пока. Я могу удалить вышеуказанные папки в директории диска C?

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\okora.sys','');
DeleteFile('C:\WINDOWS\okora.sys');
DeleteFile('C:\plg.txt');
DeleteFileMask('C:\mVgh5wdcjNjmTYr', '*.*', true);
DeleteDirectory('C:\mVgh5wdcjNjmTYr');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\mVgh5wdcjNjmTYr', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\mVgh5wdcjNjmTYr');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи RSIT

Done

- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите[/url] темп-папки, кэш браузеров, cookies и корзину.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Что с проблемой теперь?

Все сделал, после перезагрузки и повторного выполнения скрипта АВЗ сказал, что частоиспользуемые уязвимости не обнаружены(до этого было 12). С проблемой все то же, что и было до закрытия уязвимостей - аномалии пока не проявляются никак - с тех пор, как я выполнил первый скрипт в теме процессов svchost.exe, запущенных от имени пользователя и пожирающих 25-50% больше нет, а в директории диска C до сих пор указанные мною выше папки, которые я не трогал, кроме mVgh5wdcjNjmTYr - ее удалил скрипт, данный мне thyrex-ом.

Сделайте свежий лог AVZ

Done

Btw, вспомнил, ранее несколько раз был кратковременный обрыв интернет соединения с последующей системной ошибкой Windows и конфликте с ip-адресом других компьютеров. Дома юзаю проводной роутер, раздающий инет на 3 компа, DHCP.

Сделайте лог [url="http://support.kaspersky.ru/faq/?qid=208639606"]TDSSkiller[/url]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Done

Что с проблемой?

[QUOTE=TommyeAsY;875070]...С проблемой все то же, что и было до закрытия уязвимостей - аномалии пока не проявляются никак - с тех пор, как я выполнил первый скрипт в теме процессов svchost.exe, запущенных от имени пользователя и пожирающих 25-50% больше нет, а в директории диска C до сих пор указанные мною выше папки, которые я не трогал, кроме mVgh5wdcjNjmTYr - ее удалил скрипт, данный мне thyrex-ом.[/QUOTE]
То же самое все. Разве что после одного из обновлений все иконки стали XP-шные(до этого были Вистовские - из-за темы).

Какие из проблем остались?

[QUOTE=thyrex;875315]Какие из проблем остались?[/QUOTE]

Да никаких проблем не наблюдается еще после первого скрипта. Что мне следует сделать с вышеуказанными папками K6OnBf903MeGJaw, kBawvXSGcz0hr5h и qUecbDfhmvgQ6DL в директории диска C? Там те же файлы, что и в удаленной вашим скриптом папке, кроме первой, и я понятия не имею, откуда они взялись у меня.

[quote="TommyeAsY;875327"]Что мне следует сделать с вышеуказанными папками K6OnBf903MeGJaw, kBawvXSGcz0hr5h и qUecbDfhmvgQ6DL в директории диска C?[/quote]
Удалите.


- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL]

[QUOTE=Techno;875420]Удалите.


- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL][/QUOTE]

Пропала языковая панель, как вернуть?

Пуск - Панель управления - язык и региональные настройки -> языки -> подробнее -> языковая панель -> отоброжать

[QUOTE=Techno;875490]Пуск - Панель управления - язык и региональные настройки -> языки -> подробнее -> языковая панель -> отоброжать[/QUOTE]
Кнопка "Языковая панель" недоступна.

Лог hijackthis сделайте...

Done

Выполните в АВЗ:
[CODE]begin
regkeyparamwrite('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe','REG_SZ','C:\WINDOWS\system32\ctfmon.exe');
end.[/CODE]

Перезагружаемся, пробуем...

Вроде все ок

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\gtdwr7qlo2a.exe - [B]Backdoor.Win32.Gbot.vet[/B] ( DrWEB: Trojan.Carberp.276, BitDefender: Trojan.Generic.7359502, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:SmokeLdr-E [Trj] )[/LIST][/LIST]