Вирусы...

Здравствуйте.
Такая вот беда..
На ноутбуке были вирусы.. AVG (free) ругалась постоянно, в карантин кидала, но сделать ничего так и не смогла..
На днях переустановил винду, поставил касперского лицензию (антивирус)(просканировал, ничего не обнаружено), всьо работало пока не начал устанавливать Яву( Java 1.6 скачаная с офф сайта).
Касперский начал сильно ругаться, непомню уже точно что говорил, но начал лечение, после перезагрузка. Перезагрузил, скачал яву 1.5 установилась нормально.. но.. касперский через пару минут опять нашел чтото, опять лечение... Вобщем как только интернет подключаю начинает Касперский ругаться, чтото нейтрализует, и по новой, одне и те же файлы, и интернет пропадает, заново подключить можно только после перезагрузки.
Из подозрительного в процессах был замечен Е001.ехе , С002.exe, J001.exe
Касперсокому не нравиться очень папка iSql, постоянно жалуется на нее, кстати АVG на подобные файлы жаловалась

п.с. сделал все по инструкцие, логи ниже
Прошу помочь, так как работать невозможно, ноут тормозит ужасно, клиенты ждут, а хакеры местные розводят руками..

[B]Выполните скрипт в AVZ:[/B]

[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\lvtwm.biz','');
DeleteFile('C:\WINDOWS\system32\lvtwm.biz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Messenger\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B]Прислать запрошенный карантин[/B]" над первым сообщением темы)

[COLOR="Red"]Обновите базу AVZ!!![/COLOR]

Сделайте новые логи

Обновил логи, скрипт выполнил но ноут нивкакую нехотел перезагружаться, завис на выключении, в карантине пусто...

сделайте такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]

сейчас попробую, файл lvtwm.biz не переместился в карантин, лежыт в систем32

[QUOTE='skif_us;677332']сейчас попробую, файл lvtwm.biz не переместился в карантин, лежыт в систем32 [/QUOTE]Заархивируйте его с паролем "virus" и загрузите по ссылке "прислать запрошенный карантин"

сделал логи той программой, прикрепляю их.

прогнал еще рас скрипт в авз в карантине появились файлы, их, и lvtwm.biz залил по ссылке "прислать запрошенный карантин"

и еще, часто выбивала ошыбка Service.exe и Generic ..... если еще рас появиться напишу точное название

и еще один момент.. безопасно ли в данной ситуацые работать с клиент-банком?

[QUOTE='skif_us;677872']и еще один момент.. безопасно ли в данной ситуацые работать с клиент-банком?[/QUOTE]Лучше не пользоваться. Файл в карантине детектируется как [B][COLOR="Red"]Trojan-PSW.Win32.Bjlog.kgz[/COLOR][/B]


[QUOTE='skif_us;677872']прогнал еще рас скрипт в авз в карантине появились файлы, их, и lvtwm.biz залил по ссылке "прислать запрошенный карантин" [/QUOTE]Отлично, сделайте новые логи

Спасибо что помагаете. Вот новые логи

ах да, еще один вопрос, касперского запускать? ато он ругаеться постоянно, чтото лечит, нейтрализирует, что б не натворил чего..)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\nssm.exe');
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
DeleteFile('c:\windows\system32\lvtwm.biz');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_DeleteFile('c:\windows\system32\lvtwm.biz');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

сейчас сделаю..
еще заметил только что в статистике интернета - отправлено 90Мб (хотя ничего не заливал
в процесах был подозрительный файл 360....ехе
как только убил его отправка прекратилась

вот новые логи
опять идет непонятная отправка, в процесах немогу найти..интернет лимитный((
через пару мин карантин пришлю

Файл сохранён как 100730_132422_quarantine_4c529a46207bc.zip
Размер файла 552283
MD5 87af64d746b567ef04d0c4744dba0dde

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
StopService('361aCrfoah');
TerminateProcessByName('c:\windows\system32\nssm.exe');
QuarantineFile('C:\WINDOWS\system32\Antivirus.exe','');
DeleteService('MediaCenter');
QuarantineFile('C:\WINDOWS\system32\361iyroco.exe','');
QuarantineFile('c:\windows\system32\nssm.exe','');
DeleteFile('c:\windows\system32\nssm.exe');
DeleteFile('C:\WINDOWS\system32\Antivirus.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
DeleteFile('C:\WINDOWS\system32\361iyroco.exe');
DeleteService('361aCrfoah');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

вот новые логи, аплоуд вроди прекратился

Файл сохранён как 100730_140141_quarantine_4c52a3056fe5c.zip
Размер файла 260354
MD5 8cd6bd5d0eea4e86a8b2cafb8d926e74

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('%System32%\sfcfiles.dll','');
QuarantineFile('c:\windows\system32\lvtwm.biz','');
BC_DeleteFile('c:\windows\system32\lvtwm.biz');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Messenger\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\msgsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

обновил, прогнал скрипт, файл залил
Файл сохранён как 100802_144330_Quarantine_4c56a1526ed38.zip
Размер файла 551423
MD5 e513cc7e68327d673b2c103c3af4eb92

новый лог ниже

Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Запустите файл во вложении, и внесите информацию в реестр.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

вот лог авз, вопрос по последнему пункту, когда прошлый рас ставил яву с оф сайта каспер очень сильно ругался, и недал установиться до конца..
отключить каспера и установить 1.6 или оставить 1.5?

поставил всьотки 1.6
обновил всьо, уязвимостей нету
удивила одна деталь.. перед перезагрузкой сохранил на рабочем столе в текстовом документе
после перезагрузки файл исчез...

сделал №2 диагностики, нашло какогото паразита..(
лог ниже

касперский ужасно ругаеться на е001.ехе и еще пару файлов
просит процедуру лечения, что делать?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ldu44vbf\e001.exe');
QuarantineFile('C:\WINDOWS\system32\Service.exe','');
DeleteService('ba');
QuarantineFile('C:\WINDOWS\system32\sqllibrary.dll','');
QuarantineFile('C:\WINDOWS\System32\hglasclib.dll','');
QuarantineFile('c:\windows\system32\hglasvstart.dll','');
QuarantineFile('C:\Temp\FengYun.dll','');
QuarantineFile('c:\windows\system32\ldu44vbf\e001.exe','');
DeleteFile('c:\windows\system32\ldu44vbf\e001.exe');
DeleteFile('C:\WINDOWS\system32\service.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]

сделал всё вишше написанное, вот логи и карантин

Файл сохранён как 100803_154616_quarantine_4c58018820681.zip
Размер файла 3446
MD5 3e96d84ef16c6f85e7a8c3d94e41dbc4

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FI1D3YX8\C002[2].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FI1D3YX8\C002[2].exe');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FI1D3YX8\E001[1].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FI1D3YX8\E001[1].exe');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\RGH0PKRY\P001[1].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\RGH0PKRY\P001[1].exe');
QuarantineFile('C:\WINDOWS\472312.tmp','');
DeleteFile('C:\WINDOWS\472312.tmp');
QuarantineFile('C:\WINDOWS\472343.tmp','');
DeleteFile('C:\WINDOWS\472343.tmp');
QuarantineFile('C:\WINDOWS\system32\44PKQ8IW\A25.exe','');
DeleteFile('C:\WINDOWS\system32\44PKQ8IW\A25.exe');
QuarantineFile('C:\WINDOWS\Temp\373015.bmp','');
DeleteFile('C:\WINDOWS\Temp\373015.bmp');
QuarantineFile('C:\WINDOWS\Temp\487625.bmp','');
DeleteFile('C:\WINDOWS\Temp\487625.bmp');
end.[/code]
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

готово, размножается паскуда))
Файл сохранён как 100804_123527_Quarantine_4c59264fdbcdf.zip
Размер файла 497546
MD5 7092153b14b8b03c6882ba9170d863dd

Сделайте новый лог MBAM.

готово, опять 13 обнаружений..(

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PR7K5SOV\A25[1].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PR7K5SOV\A25[1].exe');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PR7K5SOV\A25[2].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PR7K5SOV\A25[2].exe');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QVGY5WUA\A25[1].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QVGY5WUA\A25[1].exe');
QuarantineFile('C:\WINDOWS\system32\hglasclib.dll','');
DeleteFile('C:\WINDOWS\system32\hglasclib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/code]
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

+ к AndreyKa [URL="http://virusinfo.info/showthread.php?t=7239"]выполните такой скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

готово,
Файл сохранён как 100805_101729_Quarantine_4c5a57792fbbc.zip
Размер файла 1355820
MD5 5623873d188b18c94b01fda5f040c4d5

в процесах заметил парочку лишних, идет аплоуд, качает чтото от меня падлюка=)
H001.exe
E001.exe
360spnkf.exe
vx.exe
klwtblfs.exe
удалил их, отдача не прекратилась((
процесор загружен на 100%

Вы базы антивируса обновляете? Или он у вас совсем отключен.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
DeleteService('Microsoft Media');
QuarantineFile('c:\windows\system32\dllcache\rtsecar.exe','');
DeleteFile('c:\windows\system32\dllcache\rtsecar.exe');
BC_DeleteSvc('Microsoft Media');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

касперского выключаю на время сканирования
базы каждый день обновляються, касперский постоянно лечит одно и тоже, достало уже перезагружаться)
сейчас сделаю вышше написаное

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

п.с. авз необновляться ошыбка выскакивает avzupd.zip

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HglSrv\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\hglasvstart.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

Распакуйте файл [url=http://virusinfo.info/attachment.php?attachmentid=247325&stc=1&d=1276857549]mbrcure.zip[/url]. Запустите его. Приложите сюда файл log.txt, а файл quarantine.zip пришлите через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы.