Подозрения на вирус

[zjabko]

Доброго времени суток!!!

Не открываются антивирусные сайты, AVZ не обновляется.
При операциях над файлами ( excell, word ) с рабочего стола исчезают все ярлыки, экран пару раз моргает и рабочий стол загружается по новой.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('h:\documents and settings\user2\application data\netprotocol.exe');
 TerminateProcessByName('h:\wnagent.exe');
 QuarantineFile('h:\wnagent.exe','');
 DeleteService('flmadkdq');
 QuarantineFile('H:\WINDOWS\system32\drivers\flmadkdq.sys','');
 QuarantineFile('H:\Documents and Settings\User2\Application Data\netprotocol.exe','');
 QuarantineFile('H:\WINDOWS\system32\1571d7e2.exe','');
 QuarantineFile('H:\WINDOWS\system32\23cc37bf.exe','');
 QuarantineFile('H:\WINDOWS\system32\9e828e5b.e','');
 QuarantineFile('H:\WINDOWS\system32\WinstyleMonitor.exe','');
 QuarantineFile('H:\WINDOWS\system32\lfohqyi.exe','');
 QuarantineFile('H:\WINDOWS\system32\mjufvulu.dll','');
 QuarantineFile('H:\WINDOWS\system32\moymwfsd.dll','');
 QuarantineFile('H:\WINDOWS\system32\msxslt3.exe','');
 DeleteFile('H:\WINDOWS\system32\msxslt3.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT');
 DeleteFile('H:\WINDOWS\system32\moymwfsd.dll');
 DeleteFile('H:\WINDOWS\system32\mjufvulu.dll');
 DeleteFile('H:\WINDOWS\system32\lfohqyi.exe');
 DeleteFile('H:\WINDOWS\system32\9e828e5b.e');
 DeleteFile('H:\WINDOWS\system32\23cc37bf.exe');
 DeleteFile('H:\WINDOWS\system32\1571d7e2.exe');
 DeleteFile('H:\Documents and Settings\User2\Application Data\netprotocol.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 DeleteFile('H:\WINDOWS\system32\drivers\flmadkdq.sys');
 BC_DeleteSvc('flmadkdq');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(13);
 ExecuteRepair(20);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[zjabko]

всё выполнил
quarantine.zip выгрузил
логи прилагаю

[olejah]

После лечения срочно меняйте все пароли!

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('h:\wnagent.exe');
 QuarantineFile('h:\wnagent.exe','');  
 DeleteFile('h:\wnagent.exe');
 DeleteFile('moymwfsd.dll');
 DeleteFile('mjufvulu.dll');   
 DeleteFileMask('H:\Documents and Settings\User2\Local Settings\temp','*.*',true);  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Обновите базы!

- Повторите логи АВЗ

- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[zjabko]

выполнил
логи прилагаю

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('H:\WINDOWS\system32\drivers\vdk0mtm3.sys','');  
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[zjabko]

скрипты выполнил
quarantine2.zip выслал

[olejah]

Что с проблемой?

[zjabko]

Вроде всё отлично!
По логам ничего не показало???
Если нет, то огромное спасибо за помощь!!!!

[olejah]

Ничего плохого не увидел.

[zjabko]

Ну раз ничего плохого....
Огромное человеческое спасибо!!!!
Тему можно закрывать!!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 31
• В ходе лечения обнаружены вредоносные программы:
  
  1. h:\\documents and settings\\user2\\application data\\netprotocol.exe - Trojan.Win32.Agent.fqju ( DrWEB: Trojan.Siggen2.7239, BitDefender: Trojan.Generic.5061243, AVAST4: Win32:MalOb-IJ [Cryp] )
  2. h:\\windows\\system32\\mjufvulu.dll - Trojan-Spy.Win32.SpyEyes.cvo ( DrWEB: Trojan.DownLoader1.28790, BitDefender: Trojan.Generic.5020904, AVAST4: Win32:Crypt-HZU [Trj] )
  3. h:\\windows\\system32\\moymwfsd.dll - Trojan-Spy.Win32.SpyEyes.cwu ( DrWEB: Trojan.Siggen2.7278, BitDefender: Trojan.Generic.5078481, AVAST4: Win32:Crypt-HZU [Trj] )
  4. h:\\windows\\system32\\23cc37bf.exe - Backdoor.Win32.Shiz.akd ( DrWEB: Trojan.MulDrop.64715, BitDefender: Backdoor.Generic.513715, AVAST4: Win32:Malware-gen )
  5. h:\\wnagent.exe - Trojan-PSW.Win32.WebMoner.xb ( DrWEB: Trojan.MulDrop1.49895, BitDefender: Gen:Trojan.Heur.PT.jGW@bmebZJgc, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !