Уже знакомые всем вирусы Instmtv.exe, jjdrive32.exe и scdll.exe

Уже месяца три мучаюсь, помогите, пжлст.

Здравствуйте!
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\instmtv.exe');
SetServiceStart('pxkbf', 4);
StopService('pxkbf');
QuarantineFile('C:\WINDOWS\system32\38.scr','');
QuarantineFile('C:\WINDOWS\system32\50.scr','');
QuarantineFile('C:\WINDOWS\system32\48.scr','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\Program Files\setup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys','');
QuarantineFile('c:\windows\system32\instmtv.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\pxkbf.sys');
DeleteFile('C:\Program Files\setup.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\Instmtv.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\48.scr');
DeleteFile('C:\WINDOWS\system32\50.scr');
DeleteFile('C:\WINDOWS\system32\38.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','558');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','647');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','110');
DeleteService('pxkbf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(1);
Executerepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Стыдно признаться, но у меня ума не хватает отключить восстановление системы.

[URL=http://www.radikal.ru][IMG]http://s54.radikal.ru/i146/1005/ea/22791531b320.jpg[/IMG][/URL]

Пока выполните скрипт и сделайте новые логи.

Карантин отправлен, новые логи сделаны, однако в процессе возникла проблема с клавиатурой: Windows не удалось запустить это устройство, поскольку информация о его конфигурации в реестре неполна или повреждена. (Код 19)
Удаление и переустановка драйвера ничего не дали, в реестр лезть опасаюсь. Что делать?

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\27.scr','');
QuarantineFile('C:\WINDOWS\system32\31.scr','');
QuarantineFile('C:\WINDOWS\system32\37.scr','');
QuarantineFile('C:\WINDOWS\system32\84.scr','');
QuarantineFile('C:\WINDOWS\system32\12.scr','');
QuarantineFile('c:\windows\system32\instmtv.exe','');
TerminateProcessByName('c:\windows\system32\instmtv.exe');
DeleteFile('c:\windows\system32\instmtv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\12.scr');
DeleteFile('C:\WINDOWS\system32\84.scr');
DeleteFile('C:\WINDOWS\system32\37.scr');
DeleteFile('C:\WINDOWS\system32\31.scr');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Карантин отправлен, логи сделаны. Параллельно диагностирую второй комп, где ситуация аналогична (только диагностирую, не вставляю никаких скриптов из этой темы). Логи со второго компа здесь же выложить или новую тему создать?

[QUOTE='shem_ar;636189']Логи со второго компа здесь же выложить или новую тему создать?[/QUOTE]Новый компьютер - новая тема

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

[B]thyrex[/B],
попробую, хотя в прошлый раз у меня ума не хватило :(

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Не, все-таки у меня ума не хватает комбофиксом воспользоваться :(
Полоса закачки прокручивается и все. С переименованной прогой та же фигня :(

[QUOTE='shem_ar;636199']Полоса закачки прокручивается и все[/QUOTE]Закачки чего?

[B]thyrex[/B],
ммм, может быть, я неправильно выразилась? Мозг уже отказывается работать, воспользуюсь лексиконом блондинки:
Скачиваю комбофикс, сохраняю на рабочий стол, пытаюсь открыть - возникает зеленый прогрессбар, проходит до конца, исчезает и ничего больше не происходит. С переименованной прогой тоже самое.

Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

Лог Малаваром сделан.

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084\hh[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GI03WYXI\bn[1].jpg','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2\tkhowrof[1].exe','');
QuarantineFile('C:\WINDOWS\hosts','');
QuarantineFile('C:\WINDOWS\system32\hosts','');
QuarantineFile('C:\WINDOWS\system32\71.scr','');
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\66.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\55.scr','');
QuarantineFile('C:\WINDOWS\system32\51.scr','');
QuarantineFile('C:\WINDOWS\system32\46.scr','');
QuarantineFile('C:\WINDOWS\system32\27.scr','');
QuarantineFile('C:\WINDOWS\system32\13.scr','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\4x8q2y6t2e6.exe','');
QuarantineFile('C:\WINDOWS\system32\Instmtv.exe','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\70 (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\66 (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\03 (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.VirTool) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.VirTool) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\64 (Trojan.Dropper) -> No action taken.

Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\scdll.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\Instmtv.exe (Trojan.VirTool) -> No action taken.
C:\4x8q2y6t2e6.exe (Trojan.VirTool) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2\tkhowrof[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GI03WYXI\bn[1].jpg (Trojan.VirTool) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084\hh[1].exe (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\03.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\13.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\27.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\46.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\51.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\55.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\64.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\66.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\70.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\71.scr (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00001.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00002.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00003.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00006.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00007.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00008.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00009.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00010.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00011.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00012.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00013.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00014.dta (Trojan.VirTool) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.[/CODE]Сделайте новые логи AVZ и МВАМ

[B]thyrex[/B],
немного не поняла, где в МВАМ код вставлять :(

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Карантин отправлен.

[QUOTE='shem_ar;636378']немного не поняла, где в МВАМ код вставлять[/QUOTE]Вы по ссылке выше переходили? Там написано, как это выполнять

[B]thyrex[/B],
Сижу туплю, но никак не могу понять, при чем там код :(

Указанные в окне [B]Код[/B] строки нужно удалить

Это - то, что надо удалять?

Ответ над Вашим сообщением

[B]thyrex[/B],
сорри, увидела :)

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 18 минут[/I][/B][/color][/size]

thyrex,
в найденных МВАМ вредоносных программах, кроме карантина AVZ от 12 мая, есть карантин от 13 мая - может, его тоже удалить?

Удаляйте, если отправили его

Новые логи

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\WINDOWS\system32\Instmtv.exe');
TerminateProcessByName('C:\WINDOWS\system32\scdll.exe ');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3603408119-3136441216-293023545-4088\playncr.exe','');
QuarantineFile('C:\WINDOWS\system32\Instmtv.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3603408119-3136441216-293023545-4088\playncr.exe');
DeleteFile('C:\WINDOWS\Temp\spool32.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\Instmtv.exe');
DeleteFilemask('C:\32788R22FWJFW','*.*',true);
DeleteDirectory('C:\32788R22FWJFW');
DeleteFilemask('C:\WINDOWS\system32','??.scr',false);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','05');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
Executerepair(11);
Executerepair(13);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM

Карантин отправлен. Новые логи

Просканируйте ПК МВАМ и удалите все, что он найдет, затем сделайте новый лог.

Сделано. Вот лог.

После удаления в МВАМ ПК перезагружали?
Что сейчас с проблемой?

Перезагружала.
На данный момент: в диспетчере задач гадостей нет, в C:\WINDOWS куча батников с числовыми именами, по типу 03.bat, 05.bat, 17. bar и пр. В C:\WINDOWS\system32 три екзешки: 17.ехе, 27.ехе и scdll.exe, вторая прописана в автозагрузке. В C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084 уже знакомый мне number[1].asp, в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2 tkhowrof[1].exe.
Instmtv.exe и jjdrive32.exe пока больше не появлялись.

Сделайте новый лог virusinfo_syscheck.zip и лог MBAM, будем добивать заразу.

Ну где же логи, ну где же наши логи?
А вот они:

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFilemask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFilemask('C:\WINDOWS','??.bat',false);
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\27.exe ');
DeleteFile('C:\WINDOWS\system32\30.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.
[/code]
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

Еще немного, ее чуть-чуть.
Последний лог - он трудный самый...

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\77.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Что с проблемой?

В C:\WINDOWS батник 75.bat, в C:\WINDOWS\system32 екзешники 30.ехе, 75.ехе и scdll.exe, они же в диспетчере задач, 75.ехе прописан в автозагрузке.
В C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MUJERUQ7 tkhowrof[1].exe.

[B]shem_ar[/B], обновления для системы все установлены?

[B]thyrex[/B],
глупый вопрос: а что вы имеете в виду?

Все патчи, которые Microsoft выпустила после выхода SP3

Боюсь, что нет, так как автоматическое обновление у меня отключено :(

Ну так устанавливайте. Если система - не лицензия, после установки патча проверки подлинности может потребоваться повторная активация