Conficker.

Привет.
Прочитал новость об эпидемии червя - попытался зайти на сайт майкрософта - не получилось. Из антивирусов стоит Nod32, обновленный, не обнаружил ничего. Фаервола не имею. Понятия не имею также, как отключить автозапуск USB устройств.
Удалил Конфикер с помощью майкрософтовской утилиты (windows-kb890830-v2.6), установил патч на ХР, поменял пароль администратора - вроде бы удалилось.
Но конфикер все равно продолжает лезть. Удалял уже раза три-четыре - без успеха. Сейчас это зашло настолько далеко, что svchost.exe завершается с ошибкой и после этого система отвисает.
Я в отчаянии. Формат делать нельзя - важные файлы. Помогите пожалуйста избавиться от гадости. Не хочу быть в списке зомбей досящих сайт президента.

Ниже прилагаю три лога в соответствии с правилами.

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Лог прикрепил.

Бамп. Опять лезет.
CureIt определяет зверя как Win32.HLLW.Shadow.based.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dnzin.dll ',' ');
DeleteFile('C:\WINDOWS\system32\dnzin.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

[COLOR=Red]На этом лечение не закончится![/COLOR]

После выполнения скрипта, сделайте еще раз лог Gmer.

Скрипт не удалил ничего. Чтобы зайти на сайт и взять его мне пришлось удалить именно тот самый dll, потому что вирус блокирует любые адреса содержащие virusinfo, microsoft и так далее. А если я его удалю еще раз, чтобы зайти и скопипастить новый скрипт на удаление новой твари - тварь при следующем ребуте делает dll уже с другим именем. Замкнутый круг.

Видимо придется делать формат.
Теперь такой вопрос: конфикер может заразить файлы с расширением *.ai, *.fla, *.as, *.eps, если их аплоадить с освобожденного на некоторое время компьютера на сервер через фтп? Хотя бы часть файлов сохраню, если да.

[quote=AndrewBG;337829]Видимо придется делать формат.[/quote]
Не надо делать формат! Мы что тут зря стараемся!?

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('jmqnyud');
DeleteService('wnzbubia');
DeleteService('xhnkdnvn');
DeleteService('ycpizatbr');
DeleteService('zeakfyv');
QuarantineFile('C:\WINDOWS\system32\dnzin.dll',' ');
DeleteFile('C:\WINDOWS\system32\dnzin.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('jmqnyud');
BC_DeleteSvc('wnzbubia');
BC_DeleteSvc('xhnkdnvn');
BC_DeleteSvc('ycpizatbr');
BC_DeleteSvc('zeakfyv');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=37890[/URL]

3. Повторите лог Gmer.

Карантин прислал, лог gmer сделать не могу - после перезапуска системы через некоторое время завершается ошибкой процесс svchost.exe, после чего система зависает намертво. Помогает только резет.

А в безопасном режиме грузится?

Да. Вот лог.

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
DeleteService('trcqw');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw');
BC_DeleteSvc('trcqw');
BC_Activate;
RebootWindows(true);
end.[/code]2. Повторите лог Gmer.

Вот.

Что с проблемой?

Вирус пока не подает признаков жизни, сайт майкрософта открывается. Но gmer ругается.

Загрузка проходит нормально?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[quote=AndrewBG;337923]Но gmer ругается.[/quote]
Знаю, а вообще опасности от такого ключа нету.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw

[QUOTE]Загрузка проходит нормально?[/QUOTE]
Загрузка системы? Пока что ошибок от svchost не было, тьфу-тьфу-тьфу, чтоб не сглазить.
[QUOTE]
Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).
В HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw[/QUOTE]
Если не сложно, как это можно сделать? Ключи нашел, а вот удалить - не знаю как.

Все понятно?

Вирус опять активен.

С чего Вы взяли?

Те же симптомы - сайт майкрософта не открывается, интернет и система в целом начал дико тормозить и virusinfo не открывался до удаления виндоусовской утилитой зараженного dll.

Вы подцепили вирус вновь. Нужно было сразу после лечения поставить заплатки. Иначе так и будете заражаться, а мы лечить!

Лог Gmer сделайте.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Тема [url]http://virusinfo.info/showthread.php?t=37191[/url] Там есть много чего интересного и про заплатки сказано. Прочитайте.

В том-то и дело, что заплатки были поставлены после очистки. Но вирус все равно пролез.

В логе ничего плохого нет...

Давайте логи AVZ, нужно было сразу установить SP3, отключить потенциально опасные службы, а вы поставили заплатку и думаете прокатит :(

Все больше склоняюсь к формату.
Так что вопрос остается в силе. Может ли вирус размножаться через ftp\компакт-диски?

Через флэшки, открытые сетевые папки и слабый пароль администратора.

Удалось обновить нод, поставил аутпост теперь эта связка очень быстро убивает конфикер. Понятия не имею, откуда он лезет, видимо из локальной сети. У нас с ним теперь взаимовыгодный паритет - я его удалить полностью не могу, форматировать жалко, и он мне навредить ничем не может. Ну, почти ничем. Убил svchost.
Вот скрин самой ошибки svchost.exe:
[IMG]http://img98.imageshack.us/img98/3553/svchosterroryp3.jpg[/IMG]
Если нажать на ОК\Отмена или же закрыть окно система виснет - я могу работать только с теми окнами, что были открыты до появления ошибки, новые окна открыть невозможно, панель задач не работает, все системные сочетания не работают, даже кнопка Power не работает. Помогает только резет, притом все откатывается. Таким образом я уже потерял суммарно часов восемь работы. А ошибка появляется все чаще и чаще.
Система - какая-то допотопная зверовская WinXP Professional SP2-пиратка(кажется, 2002 года, но я не уверен). Как решить эту проблему? SP3 - не умею устанавливать, да и, боюсь что запорет она мне всю систему.

После ошибки аутпост кричит - что-то лезет через 139-й протокол. Кажется это нечто относится к локальной сети. Я запретил.

Нужно установить SP3+all updates, ничего сложного в установке нет, запустили файл нажали пару раз "Ок" и ждите :)

А какой именно SP3 устанавливать, с сайта майкрософта брать? Встанет ли оно на мою пиратку?

Да, брать с сайта MS, встать встанет, только активацию может потребовать...

Установил. Теперь в задачах висит шесть свцхостов, один из которых жрет памяти как старый добрый рендерящий нечто тяжелое макс.
И свцхост все равно закрывается с ошибкой.
2:59:32 SERVICES.EXE Запрос на создание процесса (изменен): c:\windows\system32\svchost.exe

Вот такое после ошибки выскакивает в логах аутпоста.

А апдейты после SP3 установили? Надо все, включая последний январский.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]