msdrive32, wshost32, vse432, win7service etc... надоедливые процессы.

**Bratez** · 25.08.2009, 03:03

У вас базы Касперского за какое число?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**f1shb0ne** · 25.08.2009, 03:15

24 августа
обновиться и сделать полное сканирование?

**Rene-gad** · 25.08.2009, 10:52

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINNT\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINNT\win7service.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\winnt\win7service.exe');
 QuarantineFile('c:\winnt\win7service.exe','');
 QuarantineFile('C:\WINNT\system32\74.scr','');
 QuarantineFile('C:\WINNT\system32\85.scr','');
 DeleteFile('c:\winnt\win7service.exe');
 DeleteFile('C:\WINNT\system32\74.scr');
 DeleteFile('C:\WINNT\system32\85.scr');
 DeleteFileMask('C:\WINNT\system32','??.scr',false); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**f1shb0ne** · 25.08.2009, 15:02

Логи:

**Rene-gad** · 25.08.2009, 15:12

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1065985914-7931851278-986932962-7779\mwau.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1065985914-7931851278-986932962-7779\mwau.exe');
 DeleteFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); 
 DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
 DeleteFileMask('C:\WINNT\system32','??.scr',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('');
RebootWindows(true);
end.

После перезагрузки:

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**f1shb0ne** · 25.08.2009, 15:51

Логи:

hijackthis log не вкладывается - причина:

hijackthis.log:
Вы уже вложили этот файл в теме: msdrive32, wshost32, vse432, win7service etc... надоедливые процессы.

При старте системы запускается iexplorer и загружает страницу гугл с критерием поиска "earn money"

**Rene-gad** · 25.08.2009, 15:57

Сообщение от f1shb0ne

Вы уже вложили этот файл в теме

Значит Вы СТАРЫЙ лог грузите, а его нужно ПО-НОВОЙ сгенерировать

Я же попросил, ПОВТОРИТЬ пункты 1-3, так что вперед и с песнями.

В логах АВЗ ничего подозрительного.

**f1shb0ne** · 25.08.2009, 16:02

Да, Вы, правы - с этими логами уже запутываюсь

Лог:

я понял - сейчас все пункты заново..

**Rene-gad** · 25.08.2009, 16:08

-Пофиксите:

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINNT\win7service.exe

- Повторите в точности действия, описанные в пп.2 и 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**f1shb0ne** · 25.08.2009, 16:22

там был еще один обьект O4 с win7service - я пофиксил только тот что Вы написали

Снова через некоторое время само запускается новое окно iexplorer с страницой google "earn money"
я заметил, netstat показывает что есть внешние TCP подключения (от системных процессов "System" и "Бездействие системы")

Логи:

**thyrex** · 25.08.2009, 16:37

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\winnt\win7service.exe');
DeleteFile('c:\winnt\win7service.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**f1shb0ne** · 25.08.2009, 17:20

Логи:

**Белый Сокол** · 25.08.2009, 17:23

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\docume~1\kiska~1.sma\locals~1\temp\052.exe');
 QuarantineFile('c:\docume~1\kiska~1.sma\locals~1\temp\052.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0432420807-5337844751-522354069-3143\csvcs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0432420807-5337844751-522354069-3143\csvcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman');
 DeleteFile('c:\docume~1\kiska~1.sma\locals~1\temp\052.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 DeleteFile('C:\RECYCLER\S-1-5-21-1550163537-4626143089-523313895-4551\mwau.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFileMask('%Tmp%', '*.*', true);
 BC_ImportDeletedList;
 ExecuteRepair(9);   
 ExecuteRepair(13);                                    
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

ПК перезагрузится.

Пофиксите:

Код:

O4 - HKLM\..\Run: [wshost32] C:\WINNT\system32\wshost32.exe

Потвторите логи.

**f1shb0ne** · 25.08.2009, 18:14

Логи:

**Белый Сокол** · 25.08.2009, 18:39

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINNT\system32\Drivers\lirkkpco.sys','');
 DeleteFile('C:\WINNT\system32\Drivers\lirkkpco.sys');      
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

ПК перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Повторите логи.

**Rene-gad** · 25.08.2009, 19:17

+ к вышеизложенному
- лог Avenger : http://virusinfo.info/showpost.php?p=454444&postcount=3
- лог MBAM: http://www.malwarebytes.org/mbam-download.php
Мы ходим по кругу и не видим какую-то мелочь

**f1shb0ne** · 26.08.2009, 02:26

Логи:

**Rene-gad** · 26.08.2009, 11:27

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,C:\Documents and Settings\kiska.smart\gwun.exe \s

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\kiska.smart\gwun.exe','');
QuarantineFile('C:\install\cs16patch_full_v29.exe:Zone.Identifier:$DATA','');
QuarantineFile('C:\install\cs16full_v6.exe:Zone.Identifier:$DATA','');
QuarantineFile('C:\WINNT\system32\secupdat.dat','');
QuarantineFile('C:\WINNT\Sysvxd.exe','');
QuarantineFile('C:\WINNT\win7service.exe','');
DeleteFile('C:\WINNT\system32\secupdat.dat');
DeleteFile('C:\WINNT\Sysvxd.exe');
DeleteFile('C:\WINNT\win7service.exe');
DeleteFile('C:\Documents and Settings\kiska.smart\gwun.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**f1shb0ne** · 26.08.2009, 14:43

похоже снова восстановился mcdrive32 (в корзине появились обьекты csvcs.exe, vse432.exe)

Логи:

**Rene-gad** · 26.08.2009, 15:58

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

- Удалите корзину полностью: http://virusinfo.info/showthread.php?t=30250

-Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,C:\Documents and Settings\kiska.smart\tbcqvha.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINNT\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINNT\win7service.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\0ORIBJIX\pr3xy[1].exe','');
QuarantineFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\0ORIBJIX\var[1].exe','');
QuarantineFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\1KGVUY9Y\pr3xy[1].exe','');
QuarantineFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\1KGVUY9Y\var[1].exe','');
QuarantineFile('C:\WINNT\system32\drivers\LBTWiz.exe','');
QuarantineFile('C:\WINNT\system32\secupdat.dat','');
DeleteFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\0ORIBJIX\pr3xy[1].exe');
DeleteFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\0ORIBJIX\var[1].exe');
DeleteFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\1KGVUY9Y\pr3xy[1].exe');
DeleteFile('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5\1KGVUY9Y\var[1].exe');
DeleteFile('C:\WINNT\system32\drivers\LBTWiz.exe');
DeleteFile('C:\WINNT\system32\secupdat.dat');
RegKeyParamDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman');
DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFile('c:\winnt\win7service.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.