reader_s.exe, msdrive32.exe, трояны

Имеются reader_s.exe, msdrive32.exe, возможно, ещё гадости, сами по себе запускаются непонятные .exe (703.exe - цифры разные, меняются), .tmp (В3.tmp и т.д.), нахождение и удаление в папках и реестре ни к чему не приводит - после запуска всё опять "на месте", также имеется куча svchost.exe (на данный момент запущено 13).

Зайти на сайты о лечении / удалении этого добра невозможно, сайты антивирусов блокированы, на Ваш сайт удаётся зайти только через [URL="http://216.246.91.178/~virusinf"][COLOR=#000080]http://216.246.91.178/~virusinf[/COLOR][/URL] - через virusinfo.info тоже никак. Установить антивирусы с диска никак - просто ничего не происходит, в "лучшем" случае программа зависнет при инсталяции.

По инструкции в Правилах стянула и проверила AVPtool - найдено 1402 зараженных файлов - сплошные .ехе, включая даже сам avptool, после проверки часть файлов вылечена, что-то в каратине, что-то удалено, по утверждению программы вылечены / карантине / удалены все найденные поражженные файлы.

AVZ, стянутую по ссылке в Ваших Правилах, сначала поставить не удалось - требовалось rundll32.exe, пришлось искать и скачивать, после этого программа установилась. Скриптов на выбор было 6:
1 Detect and block UserMode and KernelMode hooks
2 Advanced System Analysis
3 Advanced System Analysis with malware removal mode enabled
4 Collecting not recognized and suspicious files (с этим скриптом я и сделала логи, если неправильно, напишите, пожалуйста, с каким надо)
5 Update signature database
6 Delete all AVZ drivers and registry keys
Логи весят более 11МВ каждый, называются иначе, программа вообще логи проверки без инета потом сложила туда же, куда и логи проверки с подключенным интернетом, пришлось сделать по второму разу. Как в данном случае сделать правильные логи?

С программой HiJackThis проблем не возникло. Лог прилагаю.

Заранее спасибо за помощь!

[QUOTE='freeze;458086']Как в данном случае сделать правильные логи?[/QUOTE]Выполнить скрипты 2 и 3

[QUOTE='freeze;458086']Логи весят более 11МВ каждый, называются иначе[/QUOTE]Если называются иначе, то это не логи :)

Чтобы запустить AVZ с русским интерфейсом надо в командной строке указать параметр: lang=RU

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
QuarantineFile('E:\WINDOWS\System32\reader_s.exe','');
DeleteFile('E:\WINDOWS\System32\reader_s.exe');
QuarantineFile('E:\WINDOWS\system32\B.tmp.exe','');
DeleteFile('E:\WINDOWS\system32\B.tmp.exe');
QuarantineFile('E:\WINDOWS\system32\regedit.exe','');
DeleteFile('E:\WINDOWS\system32\regedit.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe');
QuarantineFile('E:\WINDOWS\msdrive32.exe','');
DeleteFile('E:\WINDOWS\msdrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Обновите базы AVZ.
Сделайте логи AVZ и приложите к этой теме.

Прочтите: [url]http://virusinfo.info/showpost.php?p=386579&postcount=1[/url]

Скрипт выполнила, программа сообщила об успешном исполнении, reader_s вроде пока не появился, msdrive32 снова висит в процессах. .tmp и .exe появляются только при подключенном интернете, их названия постоянно меняются.

Про svchost.ехе - ту тему просмотрела, в regedit не попасть, видимо, попал "под раздачу" Касперского при той проверке. Эти svchost, кстати, тоже активно множатся только при подключенном интернете.

Ссылки "Прислать запрошенный карантин" у меня нет вообще :(
UPD: Нашла, архив virus.zip отослан.

Логи прилагаю, включая свежий HiJack.

[QUOTE]>>>> Danger - the avz.exe file has been modified: its current CRC is not listed in Trusted Objects Database[/QUOTE]
У вас поражение файловым вирусом.
Рекомендации по лечению тут:
[url]http://virusinfo.info/showthread.php?t=15927[/url].

По указанной ссылке использовала сначала указанный там CureIt (нашел 10 "вредностей", 6 вылечил, 4 удалил).

После него применила метод Live CD Vba32 Rescue.

msdrive.exe в процессах пока не появился, количество svchost.exe - 9 штук на данный момент, по этой части уже давали совет, но, повторюсь, regedit, равно как и многое другое, exe-шное, не работает. В данном случае мне потом надо будет переустановить просто ОС?

Свежие логи, на всякий случай включая тот от vba, прилагаю.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O4 - HKLM\..\Run: [5370] E:\WINDOWS\system32\2C.tmp.exe
O4 - HKLM\..\Run: [Regedit32] E:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [reader_s] E:\WINDOWS\System32\reader_s.exe
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('glaide32');
StopService('kbiwkmlewiordq');
QuarantineFile('E:\WINDOWS\system32\userinit.exe','');
QuarantineFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe','');
QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\glaide32.sys','');
DeleteFile('E:\WINDOWS\system32\drivers\glaide32.sys');
DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
DeleteFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe');
DeleteService('glaide32');
DeleteService('kbiwkmlewiordq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('glaide32');
BC_DeleteSvc('kbiwkmlewiordq');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Файл [B]E:\WINDOWS\system32\userinit.exe[/B] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Все пункты в точности исполнила, userinit.exe заменён без проблем со здорового компьютера с идентичной инсталяцией (с тех же дисков).

Запрошенный карантин отослала, логи прилагаю.

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(1);
DelBHO('{D88E1558-7C2D-407A-953A-C044F5607CEA}');
QuarantineFile('kbiwkmwsp.dll','');
QuarantineFile('\systemroot\system32\kbiwkmtuidmtta.dll','');
DeleteFile('\systemroot\system32\kbiwkmtuidmtta.dll');
QuarantineFile('\systemroot\system32\kbiwkmopjpissq.dll','');
DeleteFile('\systemroot\system32\kbiwkmopjpissq.dll');
QuarantineFile('\systemroot\system32\drivers\kbiwkmjomqpxev.sys','');
DeleteFile('\systemroot\system32\drivers\kbiwkmjomqpxev.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Скрипт выполнен, карантин отослан, лог внизу.

- Повторите лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('E:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Файл [B]E:\WINDOWS\system32\Drivers\NDIS.sys[/B] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].

Лог GMER прилагаю, скрипт выполнен.

Файл заменить не удалось - при копировании выскакивает табличка типа "нет доступа", с BartPE ничего не вышло (делаю всё чётко по указаниям на сайте - после проверки всех дисков появляется инфо, что найдено 0 подходящих источников), knoppix пробовала - или я чего-то не понимаю и не нашла, или в версии для cd (dvd использовать не могу) нужного нет (или, повторюсь, я просто что-то не так делаю). nLite - получается сделать только с инсталяционного диска, т.е. без SP 1+2. :(

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\windows\system32\drivers\kbiwkmjomqpxev.sys','');
DeleteFile('e:\windows\system32\drivers\kbiwkmjomqpxev.sys');
QuarantineFile('e:\windows\system32\kbiwkmopjpissq.dll','');
DeleteFile('e:\windows\system32\kbiwkmopjpissq.dll');
QuarantineFile('e:\windows\system32\kbiwkmtuidmtta.dll','');
DeleteFile('e:\windows\system32\kbiwkmtuidmtta.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service kbiwkmlewiordq
gmer.exe -del file "e:\windows\system32\drivers\kbiwkmjomqpxev.sys"
gmer.exe -del file "e:\windows\system32\kbiwkmopjpissq.dll"
gmer.exe -del file "e:\windows\system32\kbiwkmwqbdfour.dat"
gmer.exe -del file "e:\windows\system32\kbiwkmtuidmtta.dll"
gmer.exe -del file "e:\windows\system32\kbiwkmbfwbxrmt.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmlewiordq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmlewiordq"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Замена файлов с помощью LiveCD подразумевает, что у Вас есть оригинальная копия файла, который Вас просят заменить
В логах есть файл E:\WINDOWS\$NtServicePackUninstall$\ndis.sys
Проверьте его на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите

Скрипт выполнен. Файл карантина отправлен.

cleanup.bat выполнен - у 4 файлов из (3-6 строчки) выскочила ошибка "файл не найден". Лог прилагаю.

Проверка указанного файла на virustotal - [URL="http://www.virustotal.com/ru/analisis/c927d5c2460638b85af6bb3eb68d8d0afcd7a8a422d9258795b50518fca03403-1251672253"]результат тут[/URL]

Лог gmer чист.
А вот проверенный файл возможно поврежден. Придется:
1. Или Вам самостоятельно добывать его для SP2;
2. Или надеяться, что кто-то из хэлперов Вам его предоставит;
3. Или установите SP3 (может потребоваться активация) + все новые заплатки

Файл ndis.sys у меня есть - с чистого компьютера с той же системой и теми же SP 1 + 2, просто не удаётся его заменить - выдает табличку "нет доступа".
SP3 поставить не удалось - из-за этого файла как раз, выдаёт ошибку, что "файл открыт или используется другой программой" (c:/windows/system32/drivers/ndis.sys), хотя всё выключено.

[QUOTE='freeze;459300']просто не удаётся его заменить - выдает табличку "нет доступа".[/QUOTE]Заменять не надо. Надо переименовать и на его место записать чистый.

Переименовать тоже не удаётся - выдаёт ту же ошибку, что нет доступа, при попытке переименовать через total commander пишет: please remove the file protection, при опции as administrator тоже ничего не получается - просит логин (и есть administrator), пароль (пароля нет, просто кликаю ОК), после этого табличка access denied. (Заранее оговорюсь, что если что - пароль не поставить, в Панели управления хоть и есть значок Учетных записей, но ничего не открывается...)

Почему-то вскоре после отправки этого сообщения перестал работать интернет - помогло аж новое инсталирования драйверов.

Удалите файл
c:/windows/system32/drivers/ndis.sys
через Отложенное удаление в AVZ. Переключатель режима удаления поставьте на [B]Удаление фалов[/B].
После перезагрузки запишите здоровый ndis.sys в папку c:/windows/system32/drivers и перезагрузите компьютер.

Не удаляется. Делаю, как Вы написали (только я ошиблась, когда адрес прописывала в прошлом сообщении - не С, а Е, на С ничего системного нет, всё на Е, посему адрес ниже исправлен), появляется текст:
[I]Delayed File Deleting E:/windows/system32/drivers/ndis.sys
>>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required
>>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required[/I]
Перезагружаю компьютер, файл где был, там и есть.

Удалите/замените файл с LiveCD или в консоли восстановления: [url]http://virusinfo.info/showthread.php?t=51654[/url]

Как я уже писала выше, nlite, knoppix и прочие указанные способы там - ничего не получается (( В интернете вычитала, что подойдёт ubuntu livecd, но 700мв в данной ситуации выкачать практически нереально, не подскажете, пожалуйста, другой пригодный livecd, меньшего размера?

Кстати, в папке windows остались некоторые .tmp, пусть, судя по логам, и чистые, их просто удалить?

[QUOTE=freeze;459484]не подскажете, пожалуйста, другой пригодный livecd, меньшего размера?[/QUOTE]
Live CD Vba32 Rescue. Он у Вас уже есть. :)

+ Aleksandra
Перемонтируйте диск в другой ПК.

Получилось! Замена удалась =)

@ [B]Rene-gad[/B]
Материнка моего здорового не позволяет - там только для IDE-кабелей, а в этом SATA-овский... Разве что наглеть у знакомых или искать редукцию...

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].

Потом повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=freeze;459705]Получилось! Замена удалась =)[/QUOTE]А почему в консоли восстановления не удавалось?

Файрвол отключен, антивирус и т.д. тоже, происходит следующее: начинается инсталляция, полоска прогресса доходит приблизительно до 3/5, после чего окошко инсталляции исчезает и появляется табличка "отказано в доступе", после клика на ОК другая табличка, с уведомлением, что "инсталляция не закончена, проведенные изменения вы вернете назад кликом на ОК" (извиняюсь, если коряво, просто винда чешская, переводить приходится), после самого клика идёт, собственно, обновление каталогов и то, что успело наинсталироваться, убирается.

С консоли - если я правильно поняла, для восстановления с консоли нужен дистрибутив, а с ним у меня не заладилось.

[QUOTE=freeze;459764]просто винда не чешская.[/QUOTE]А на каком языке система? Сервис Пак Вы на том же языке скачали? Система лицензионная?

Система на чешском, прошлые оба СП тоже, СП3 качала опять же на чешском. А вот с лицензией... :(

[QUOTE=freeze;459964] А вот с лицензией... :([/QUOTE]Хорошо бы заиметь лицензию. Решайте, что Вам дороже - лиценизия или постоянная угроза похищения данных нехорошими людьми.

Заменю. А до замены мне как? Переустановить ОС "какая есть", чтобы хоть какая-то временная работоспособность была? И можно ли данные записать / перекопировать - в том плане, "рассадник" ведь вылечен, другой комп не заразится?

Насчет лицензирования обратитесь в филиал Microsoft в Вашей стране.
[QUOTE=freeze;460009]"рассадник" ведь вылечен[/QUOTE]Почему Вы так в этом уверены? Отсутствие аномалий в любых логах не является свидетельством отсутствия заражения :). Можете назвать это паранойей, но это так: [url]http://technet.microsoft.com/de-de/library/cc512587%28en-us%29.aspx[/url]

Обращаться-то страшно - в Чехии за "компьютерное пиратство" до 5 лет за решёткой грозит, за "использование", конечно, меньше, чем за "распространение", но всё же... лучше накопить денежку и просто купить лицензионный диск и переустановить. Я понимаю, что сама виновата, но так жестоко "получить" за это, как тут законы, не хочется)

[QUOTE=Rene-gad;460028]Почему Вы так в этом уверены?[/QUOTE]
Не уверена, надеюсь =) Я, главное, не уверена, что нечто такое, как "чистый" компьютер, вообще существует :) - на днях на стареньком компе антивирус после апдейта поймал что-то в файле пятилетней давности... Вернее тогда было сказать, что "условно" вылечен...))
А про паранойю: Не пугайте, я и так параноик последнюю неделю - вот как это случилось =) Флэшку, на которой были ехе-шники и которая была вставлена в усб-порт, когда появилась зараза, даже после проверки антивирусом и последующего полного форматирования на другом здоровом компе боюсь использовать, процессы у себя регулярно контролирую (особенно "порадовал" reader_sl.exe - своей похожестью на указанную гадость, пока не оказалось, что это всего лишь процесс от adobe acrobat'a)...

По указанной ссылке вычитала про переустановку с форматированием - т.к. в ближайшие дни лицензионка не светит, и я так понимаю, переустановка имеющейся ОС с сп1 + 2 с форматированием раздела диска, где система, плюс разумеется антивирус и т.п., - единственное, что я могу сделать, чтобы (относительно) нормально работать?

[QUOTE=freeze;460071] переустановка имеющейся ОС с сп1 + 2 с форматированием раздела дискаединственное, что я могу сделать, чтобы (относительно) нормально работать?[/QUOTE]Установите все доступные обновления на СП2 - может и продержитесь :) СП2 можно накатывать на систему без СП1.

Хотела их стянуть с "условно здорового" домашнего (дескать, защищён лучше, безопаснее будет), при попытке начать закачку - табличка антивируса о трояне, несколько раз пробовала - то же самое, но это отдельная тема, и хоть мне и стыдно Вас загружать, с новыми логами создам отдельную тему для решения этого вопроса. :blush:

По поводу этого компьютера, о котором речь здесь, - не то чтобы я подозревала в чём-то Майрософт и их сайт, но в итоге решила переустановить систему (какая-никакая, а будет с рабочим regedit и т.д. - там тогда и калькулятор, и другие вещи попали "под раздачу"), установить пока хотя бы те два сп, что есть на диске CD, хоть так временно буду работать. После полной установки всего скинуть логи на всякий случай? Или закрыть тему этого компа "как есть"?

[QUOTE=freeze;460211]стыдно Вас загружать, с новыми логами создам отдельную тему для решения этого вопроса.[/QUOTE]Стыдиться тут нечему, это наше правило: новая система - новый топик.
[QUOTE=freeze;460211]
После полной установки всего скинуть логи на всякий случай? [/QUOTE]В принципе логи с только что установленной и нормально пропатченной системы делать ни к чему.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Proxy.Slennuga.A, NOD32: Win32/Virut.NBP virus )[*] e:\documents and settings\administrator\local settings\temporary internet files\content.ie5\8dmz8t6r\bbsuper2[1].htm - [B]Trojan-GameThief.Win32.WOW.snx[/B] ( AVAST4: Win32:Trojan-gen {Other} )[*] e:\documents and settings\administrator\reader_s.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Crypt-EXU [Trj] )[*] e:\windows\msdrive32.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Crypt-EXT [Trj] )[*] e:\windows\system32\drivers\kbiwkmjomqpxev.sys - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.407, BitDefender: Rootkit.25290, AVAST4: Win32:Alureon-CT [Rtk] )[*] e:\windows\system32\kbiwkmopjpissq.dll - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.501, BitDefender: Backdoor.Generic.212114, AVAST4: Win32:Alureon-CU [Rtk] )[*] e:\windows\system32\kbiwkmtuidmtta.dll - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.502, BitDefender: Trojan.Generic.2357795, AVAST4: Win32:Alureon-CU [Rtk] )[*] e:\windows\system32\reader_s.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Crypt-EXU [Trj] )[/LIST][/LIST]