HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe

Добрый день!
Помогите пожалуйста: KIS постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет кучу вирусов под названиями j001.exe...d002.exe и т.д.

Прошу помогите исправить проблему до Нового года :huh:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ali.exe','');
DeleteFile('C:\WINDOWS\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
QuarantineFile('C:\WINDOWS\system32\waifaprnlib.dll','');
QuarantineFile('c:\windows\system32\5ymh2mp7\c19.exe','');
TerminateProcessByName('c:\windows\system32\5ymh2mp7\c19.exe');
DeleteFile('c:\windows\system32\5ymh2mp7\c19.exe');
DeleteFileMask('c:\windows\system32\5ymh2mp7', '*.*', true);
DeleteDirectory('c:\windows\system32\5ymh2mp7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

А также:

1. Скачайте Bootkit Remover от eSage Lab [url]http://www.esagelab.com/files/bootkit_remover.rar[/url]

2. Распакуйте утилиту и запустите файл remover.exe.

3. Сделайте скриншот окна прежде чем нажать на любую клавишу и приложите его сюда.
-
[I]thnx to Aleksandra[/I]

polword, файл [B][COLOR=Red]quarantine.zip [/COLOR][/B]загрузил. Спасибо за быстрый отклик :rolleyes:

миднайт, сделал скриншот, но получилось 2 окна. Прилагаю:

Проведите лечение [url]http://support.kaspersky.ru/viruses/solutions?qid=208639606[/url]

Выполнить
1. remover.exe dump \\.\PhysicalDrive0 bootvir
2. remover.exe fix \\.\PhysicalDrive0

Файл bootvir запаковать с паролем virus и прислать по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

snifer67, лечение произвел, перезагрузил компьютер. KIS все равно ругается на soft.jajaca.com/lib.zip

миднайт, извиняюсь, не знаю в чем выполнить данные скрипты. Не очень в этом компетентен. Пробовал через Bootkit Remover и через AVZ - не получается =(

Сделайте текстовый документ и скопируйте туда [CODE]remover.exe dump \\.\PhysicalDrive0 bootvir
remover.exe fix \\.\PhysicalDrive0[/CODE]
сохраните его как bat-файл в папке с утилитой от eSage Lab и запустите.

миднайт, все сделал. =) Дальше? =)

Повторите логи AVZ. KIS продолжает ругаться?

[QUOTE=миднайт;747948]Повторите логи AVZ. KIS продолжает ругаться?[/QUOTE]

миднайт, логи повторил. Все то же самое. KIS пишет "выполняется анализ новой или изменившейся программы", и понеслось: е003.exe, а21. exe, ali.exe и т.д. и т.п., а также подключение к soft.jajaca.com/lib.zip

Что же делать? HELP!!! :sad:

[SIZE=1][COLOR=#666686][B][I]Добавлено через 8 минут[/I][/B][/COLOR][/SIZE]

В пути C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
постоянно создаются новые папки, к примеру F4HYL4U5, VBDG0LF4. Там и сидят эти файлы а21. exe, ali.exe и т.д.

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]

+

Установите [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru]SP3[/url](может потребоваться активация)+все последующие обновления

Установите [url=http://www.microsoft.com/rus/windows/internet-explorer/default.aspx]IE8[/url]

[QUOTE=polword;747967]- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR=Blue][B]Combofix[/B][/COLOR][/URL][/QUOTE]

Сделал. Прилагаю файл combofix.txt
При запуске ComboFix спросил про консоль восстановления, я отказался от установки консоли, т.к. не совсем уверен в подлинности ОС (устанавливал ПО не я).

[QUOTE=snifer67;747974]+

Установите [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL](может потребоваться активация)+все последующие обновления

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE8[/URL][/QUOTE]

Дело в том, что при установке SP3 в прошлом, ОС не прошла активацию, пришлось переустанавливать систему. Не уверен, что сейчас здесь стоит лицензионная ОС =(

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Неужели все так плачевно? =( Переустанавливать ОС? Иного выхода нет? =( PS. в папке system32 вирус клонировался многократно =(

сейчас скрипт напишу подождите

[QUOTE=polword;747992]сейчас скрипт напишу подождите[/QUOTE]
Очень на Вас надеюсь :unsure:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\winlogon.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Замените файл c:\windows\system32\winlogon.exe на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\tlntfpn.dll

Driver::
gsigo

NetSvc::
gsigo

Folder::
c:\windows\system32\AERPJWBY
c:\windows\system32\8GOJU7NT
c:\windows\system32\75AE2ONB
c:\windows\system32\6V6N5W8A
c:\windows\system32\5MSJEDAR
c:\windows\system32\40VNAQ6C
c:\windows\system32\3SG3B5HT
c:\windows\system32\2LVYTU2N
c:\windows\system32\ZQN5AEZC
c:\windows\system32\Y5QB6QWW
c:\windows\system32\XTVZ5O2C
c:\windows\system32\WVOSNMHH
c:\windows\system32\ULTHCJWC
c:\windows\system32\TG5PAHTK
c:\windows\system32\TVQFLGC8
c:\windows\system32\SFLCE6AC
c:\windows\system32\MKCYFV26
c:\windows\system32\M0NAU40E
c:\windows\system32\LLEEBW3O
c:\windows\system32\KN1K74S5
c:\windows\system32\K1WPFUVC
c:\windows\system32\J7ROOWVG
c:\windows\system32\JSZDJBJS
c:\windows\system32\IBF24HMT
c:\windows\system32\F2J53YBS
c:\windows\system32\FU1ESPMN
c:\windows\system32\E03DRGG7
c:\windows\system32\6FWRF0JR
c:\windows\system32\MFI1IDWO
c:\windows\system32\KB3HJNMW
c:\windows\system32\J6J3NJNX
c:\windows\system32\I2F5DR3T
c:\windows\system32\7CEMZPA4
c:\windows\system32\SHMEI4B6
c:\windows\system32\KXNL1ZHR
c:\windows\system32\K5EYRBR8
c:\windows\system32\KZI60LT0
c:\windows\system32\K445K0ZP
c:\windows\system32\JN1GKTNT
c:\windows\system32\J5MYHZMO
c:\windows\system32\JPW1IF02
c:\windows\system32\JWAM63LB
c:\windows\system32\J1WLQIQY
c:\windows\system32\JA0QJHRQ
c:\windows\system32\JTOMMKUE
c:\windows\system32\IQLU41HI
c:\windows\system32\IA8Q74L5
c:\windows\system32\IH8IU6G3
c:\windows\system32\IN8AG8C1
c:\windows\system32\I6W5KCFP
c:\windows\system32\IQK1NFJE
c:\windows\system32\IYN7FDJ4
c:\windows\system32\IIB3IGNS
c:\windows\system32\HE4XV043
c:\windows\system32\HW17UUT7
c:\windows\system32\HUP1HLVV
c:\windows\system32\HPJVU5D6
c:\windows\system32\SASN37DL
c:\windows\system32\KINIHFKT
c:\windows\system32\H4T07KCG
c:\windows\system32\t

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5610:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaifSvc"=-
"WaigSvc"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsigo]

FileLook::

DirLook::
c:\documents and settings\BIG BAD WOLF\7939
[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

polword, извиняюсь за доставленные неудобства, но возникла проблема с заменой winlogon.exe. В интернете файл найти не выходит, на диске который путем огромных усилий был найден в самом темном углу шкафа, тоже его не нашлось. Может, файл как-то зашифрован?

Я так понимаю, заменить его надо обязательно, ведь и ComboFix на него ругался... =(

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Мда, новая "фишка" от вируса - C:\WINDOWS\system32\serivces.exe.

Похоже, совсем плохи дела... =(

карантин последний пришлите

выполните скрипт в combofix и прикрепите новый лог.
p.s.

если не обновите систему- зловреды скорее всего вернутся

[QUOTE=polword;748008]карантин последний пришлите

выполните скрипт в combofix и прикрепите новый лог.
p.s.

если не обновите систему- зловреды скорее всего вернутся[/QUOTE]

Ok, все сделаю без замены winlogon'a. А есть ли возможность его скачать из интернета? Погуглил, но не нашел ничего.
PS. Извиняюсь, но архив quarantine.zip был уже загружен и форум не позволяет загрузить его заново, даже если поменять имя архива. Поэтому прикрепляю его к этому сообщению.

Мне хотелось бы увидеть логи AVZ. Диск загрузочный с системой той, что у Вас установлена имеется?

[QUOTE=миднайт;748016]Мне хотелось бы увидеть логи AVZ. Диск загрузочный с системой той, что у Вас установлена имеется?[/QUOTE]

Извиняюсь, не увидел сразу, что не прикрепились файлы.

Есть установочный диск, но точно не знаю, тот ли он. Вероятнее всего, это он и есть. Пытался найти на установочном диске winlogon через стандартный поиск - не вышло... =(

Подождите winlogon заменить, сначала проверьте его на [url]http://www.virustotal.com/[/url]
Ссылку на результат напишите.

[QUOTE='Cyber Wolf;748035'] Пытался найти на установочном диске winlogon через стандартный поиск[/QUOTE]
он там в архивном виде лежит, распаковывается командой expand (в ссылке указанной хелпером описано как это делать)
Жду логи AVZ.

[QUOTE=миднайт;748042]Подождите winlogon заменить, сначала проверьте его на [URL]http://www.virustotal.com/[/URL]
Ссылку на результат напишите.


он там в архивном виде лежит, распаковывается командой expand (в ссылке указанной хелпером описано как это делать)
Жду логи AVZ.[/QUOTE]

[url]http://www.virustotal.com/file-scan/report.html?id=af19c930f984cbd4cd7a5a16e74e4bd86c495b0376ce0a0faeab368e456a80a2-1292959961[/url] - ссылка на результат.

Логи прикреплял к одному из последних сообщений. К сожалению, логи AVZ не закачиваются через ссылку "Прислать запрошенный карантин", т.к. лог был уже отправлен ранее.

Прикреплю к этому сообщению

Логи AVZ нужно прикрепить к сообщению, а не загружать по ссылке "Прислать запрошенный карантин" :). А вот файлик winlogon.exe заархивируйте с паролем virus и пришлите по этой самой ссылке "Прислать запрошенный карантин".

[QUOTE=миднайт;748046]Логи AVZ нужно прикрепить к сообщению, а не загружать по ссылке "Прислать запрошенный карантин" :). А вот файлик winlogon.exe заархивируйте с паролем virus и пришлите по этой самой ссылке "Прислать запрошенный карантин".[/QUOTE]

Сделано =) Логи прикрепил к предыдущему сообщению.

Во мне вновь проснулась надежда на излечение )))

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\fewh.exe
c:\windows\system32\serivces.exe
c:\windows\system32\gbre.exe
c:\windows\system32\G6YHSYCF\F001.exe
c:\windows\system32\G6YHSYCF\E003.exe

Driver::
BSuWAcmv
err

NetSvc::

Folder::
c:\windows\system32\G6YHSYCF
c:\windows\system32\G6YHSYCF
c:\windows\system32\3NQ3FYCH
c:\documents and settings\BIG BAD WOLF\3281
c:\windows\system32\0DJZ1713
c:\documents and settings\BIG BAD WOLF\6199
c:\windows\system32\YITEMRCS
c:\windows\system32\XWVJI48D
c:\windows\system32\WBYOFI6Y
c:\windows\system32\V1LJMZ6G
c:\windows\system32\UR6EUH7X
c:\windows\system32\TUYS4DW1
c:\documents and settings\BIG BAD WOLF\2249
c:\windows\system32\fewh.exe
c:\windows\system32\OCJR64JH
c:\documents and settings\BIG BAD WOLF\5817
c:\windows\system32\N5UZ42FO
c:\windows\system32\N6FSWDZE
c:\windows\system32\MX1O3U0V
c:\windows\system32\LC4S07XH
c:\windows\system32\K23GACO7
c:\windows\system32\JH6L6PLT
c:\windows\system32\IKPZRYFH
c:\windows\system32\HN8EC685
c:\windows\system32\G6YHSYCF
c:\documents and settings\BIG BAD WOLF\6321
c:\documents and settings\BIG BAD WOLF\2002
c:\documents and settings\BIG BAD WOLF\10426
c:\documents and settings\BIG BAD WOLF\7939
c:\windows\system32\G6YHSYCF
c:\windows\system32\YITEMRCS
c:\windows\system32\XWVJI48D
c:\windows\system32\WBYOFI6Y
c:\windows\system32\V1LJMZ6G
c:\windows\system32\N6FSWDZE
c:\windows\system32\UR6EUH7X
c:\windows\system32\N5UZ42FO
c:\windows\system32\N6FSWDZE
c:\windows\system32\MX1O3U0V
c:\windows\system32\LC4S07XH
c:\windows\system32\K23GACO7
c:\windows\system32\JH6L6PLT
c:\windows\system32\IKPZRYFH
c:\windows\system32\HN8EC685
c:\windows\system32\G6YHSYCF
c:\windows\system32\G6YHSYCF

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Готово. Жду дальнейших указаний :rolleyes:

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\waifaprnlib.dll
c:\windows\system32\serivces.exe
c:\windows\system32\waigapsclib.dll
c:\windows\system32\waigaprnlib.dll

Driver::
PlugPlayCM
WaigSvc

NetSvc::

Folder::

Registry::

FileLook::

DirLook::
c:\documents and settings\BIG BAD WOLF\DoctorWeb
[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Готово :rolleyes:

C:\WINDOWS\system32\serivces.exe после перезагрузки ожил заново :sad:
polword, отправил Вам личное сообщение.

что находиться в папке c:\documents and settings\BIG BAD WOLF\DoctorWeb?

[QUOTE=polword;748077]что находиться в папке c:\documents and settings\BIG BAD WOLF\DoctorWeb?[/QUOTE]

Не могу знать, из DoctorWeb устанавливал только утилиту CureIt (согласно Правил форума) :huh:

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\serivces.exe

Driver::

NetSvc::

Folder::
c:\documents and settings\BIG BAD WOLF\DoctorWeb

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Сделано :rolleyes:

Сделайте fixmbr.

Это в помощь.
[url]http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/bootcons_fixmbr.mspx?mfr=true[/url]
[url]http://support.microsoft.com/kb/307654/ru[/url]
[url]http://support.microsoft.com/kb/314058/ru[/url]

Aleksandra, миднайт, все сделал.

При включении компьютера KIS информирует "обнаружено вредоносное по", но в целом ведет себя тихо. Как быть теперь? "Нейтрализовать угрозы" с помощью Касперского? Имеет ли смысл удаление всех созданных файлов и каталогов в процессе борьбы с вирусом? ($WIN_NT$.~BT; Qoobox; TDSSKiller.2.4.12.0_21.12.2010_19.38.52_log.txt и т.д.)

- сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];

[QUOTE=polword;748179]- сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR=Blue][B]Combofix[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR=Blue]virusinfo_syscheck.zip[/COLOR];[/QUOTE]

Сделано, прилагаю к сообщению :rolleyes: