Снова Download master

Подхватил такую заразу, ставил винт на другую машину, DRWEB не нашел ничего, Virus Removal Tool че-то нашел-удалил, машина запускается, могу сделать лог HijackThis, после работы HijackThis комп зависает наглухо, AVZ не запускается никак даже полиморф, пофиксил некоторые непонятные строки, могу запустить СUREIT но он то-же ниче не находит, подскажите дальнейшие действия

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [url]http://support.kaspersky.ru/viruses/avptool2010?level=2[/url], ссылка для загрузки: [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

Попробуйте профиксить. м.б. полегчает.
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/CODE]

[QUOTE=snifer67;546095]1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [URL]http://support.kaspersky.ru/viruses/avptool2010?level=2[/URL], ссылка для загрузки: [URL]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/URL] );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [URL]http://virusinfo.info/showthread.php?t=15927[/URL] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.[/QUOTE]
Все сделал, дохлый номер, DRWEB ничего не нашел, AVP одну уязвимость и все

Выполните то, что советует [B]PavelA[/B]

[QUOTE=PavelA;546129]Попробуйте профиксить. м.б. полегчает.
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/CODE][/QUOTE]
Профиксил, баннер на месте, теперь при попытке записать лог компьютер уходит в перезагрузку

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Создал другую учетку, зашел, то-же самое уходит в перезагрузку

[size="1"][color="#666686"][B][I]Добавлено через 50 минут[/I][/B][/color][/size]

Зашел под учеткой Администратор в безопасном режиме, отсканировал свежескаченным CUREIT, нашел 1 вирус winlock.569, удалил, перезагрузил, баннер на месте, что делать дальше?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 35 минут[/I][/B][/color][/size]

Причина кроется в одном из файлов каталога system32, я пошел уже на крайние меры взял с рабочей машины и скопировал все dll находящиеся в каталоге, перед этим на зараженной машине все удалил, перезагрузил баннер исчез, вернул dll на место опять таблица, как найти этот dll?

Просканируйте ПК [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]

[QUOTE=snifer67;546506]Просканируйте ПК [URL]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/URL][/QUOTE]
Сканировал, ничего не находит

Кажнтся нашел зараженные файлы методом интересным, вирус при работе в паку WINDOWS\TEMP\ копирует dll, я посмотрел размер и дату создания и удалил такие точно файлы из system32 только имена у них другие, баннер исчез, посмотрите лог что нужно пофиксить, ссылка то осталась

Лог пустой.

Запустить файл из вложения. drv.sys прислать.

+ к [B]Павлу[/B]

Логи сделать полностью. AVZ теперь должен запуститься

[QUOTE=PavelA;546637]Лог пустой.

Запустить файл из вложения. drv.sys прислать.[/QUOTE]
После запуска приложения комп ушел в перезагрузку

[QUOTE=thyrex;546640]+ к [B]Павлу[/B]

Логи сделать полностью. AVZ теперь должен запуститься[/QUOTE]
Вот логи, есть еще интересный ньюанс по которому можно вычислить вирус, если вставить флешку в зараженный комп, то вирус пишет на нее autorun.inf и в корзину на флешке помещает dll, а дальше по размеру можно вычислить этот файл

Пофиксить в HijackThis
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,
[/code]
ПК перезагрузите.

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\llbgpa.dll','');
DeleteFile('C:\WINDOWS\system32\llbgpa.dll');
QuarantineFile('G:\sDYQfX.EXe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\SdyqFX.exE','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('G:\SdyqFX.exE');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\sDYQfX.EXe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Обновите базы avz,
Сделайте новые логи.

[QUOTE='snifer67;546748']Сделайте новые логи. [/QUOTE]
Новые логи

[QUOTE='savir72;546629']Кажнтся нашел зараженные файлы методом интересным, вирус при работе в паку WINDOWS\TEMP\ копирует dll, я посмотрел размер и дату создания и удалил такие точно файлы из system32 только имена у них другие, баннер исчез[/QUOTE]
Нужно ли прислать файлы которые я удалил из системы, они у меня остались ни один из антивирусников на них не реагигурет, проверял DRWEB,KAV,Microsoft Security Essentials

[quote]Нужно ли прислать файлы которые я удалил из системы, они у меня остались ни один из антивирусников на них не реагигурет, проверял DRWEB,KAV,Microsoft Security Essentials[/quote]
Пришлите...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Пофиксить в HijackThis
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/code]
ПК перезагрузите.

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\llbgpa.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(17);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи.

[QUOTE='snifer67;546883']Сделайте новые логи. [/QUOTE]
Новые логи

Поставил DRweb, не запускается агент, где-то еще нужно поправить, подскажите

сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]

[QUOTE=savir72;547065]Поставил DRweb, не запускается агент, где-то еще нужно поправить, подскажите[/QUOTE]
Guard запустил, удалил три ветки в реестре, интересно когда антивирусные конторы найдут универсальный способ против этих вирусов?

Не скоро. ;)
Гадость очень прогрессирующая.

Ну тогда все, комп в работе

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \axqsr.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \bozdxhcm.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \c.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\csrcs.exe - [B]Worm.Win32.AutoIt.tc[/B] ( DrWEB: Win32.HLLW.Autohit.11151, BitDefender: Gen:Trojan.Heur.AutoIT.!q3@bqr@RMkO )[*] \czdoczu.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \dcehyk.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \dezwah.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \do.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \duh.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \ehbafs.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \flmbdybla.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] g:\autorun.inf - [B]Trojan.Win32.AutoRun.ty[/B] ( BitDefender: Trojan.AutorunINF.Gen )[*] g:\sdyqfx.exe - [B]Worm.Win32.AutoIt.tc[/B] ( DrWEB: Win32.HLLW.Autohit.11151, BitDefender: Gen:Trojan.Heur.AutoIT.!q3@bqr@RMkO )[*] \hwghpsmgz.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \kalsan.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \llbgpa.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \megb.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \rcf.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \rwwpg.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \srtuhu.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[*] \vbmqop.dll - [B]Trojan-Downloader.Win32.Piker.avd[/B] ( DrWEB: Trojan.Winlock.649, AVAST4: Win32:Malware-gen )[/LIST][/LIST]