Подозрение на Win32.Jeefo.a-им заражены все запускаемые svchost.exe

[Irena]

Может этот файл..просто там несколько "подменю" и в каждом свои показания:Процессы, Автозапуск, Службы,Порты..

[V_Bond]

выполните скрипт...

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
 QuarantineFile('C:\WINDOWS\system32\services.exe','');     
 BC_ImportQuarantineList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Irena]

Карантин пришел?Файл сохранён как071003_120906_virus-karantin_4703ccb21d57f.zipРазмер файла2289MD54b908f39c603846d3d79f79b36835dd4

[V_Bond]

карантин пустой .... попробуйте выполнить скрипт в Safe mode ...

[Irena]

выполнила скрипт в SafeMode. Высылаю карантин
Файл сохранён как 071003_124053_virus_4703d4259a975.zip
Размер файла 2286
MD5 3345e96a6a59cb38ce203fe8900a8185

[V_Bond]

в карантине снова пусто ... значит AVZ уверен в их безопастности ...
попробуйте на всякий случай .... сделать полную проверку Cureit ...

[Irena]

Хорошо,сейчас проверим...

[Irena]

CureIT ничего не нашел, AVZ говорит о прямом чтении некоторых файлов (приложен лог): Это нормально? Подозрительным назвал только прогу jeefogui.com (для лечения всех файлов, зараженных Win32.Jeefo.a). А прога a-squaredFree нашла 3 вредных файла - HeuristicArchivebomb и ВСЕ. Но по показаниям HiJackFree все службы svchost.exe, services.exe все равно заражены этим Джифой...

[PavelA]

А прога a-squaredFree нашла 3 вредных файла - HeuristicArchivebomb и ВСЕ. Но по показаниям HiJackFree все службы svchost.exe, services.exe все равно заражены этим Джифой...

Очень хочется увидеть как она об этом говорит. К сожалению, это не наша утилита. Всех ее возможностей до конца не знаем.

[Irena]

Если вы про HiJackFree, то: проводится он-лайн анализ данных о системе. Формат HTML-страница, поэтому могу выслать только эти данные в Worde (заархивировано WInRAR)--если желтым обозначено,то процесс используется и вредным файлом и самим приложением/службой, если красным - то только "вирусом"--и если нажать на "View Details" - то показано какая команда в этом процессе носит вредоносный "характер". Также были зараженные процессы((когда стояли в автозапуске--->пришлось убрать из автозапуска)):
1) mdm.exe (из Program Files\Common Files\Microsoft Shared\VS7Debug) там был P2P-Worm.Win32.VB.at,
2) nerocheck.exe (С:\WINDOWS\system32\Nerocheck.exe) -там Trojan-Proxy.Win32.Small.de,и_ Tactslay Family
3) gttask.exe ( из С:\Program Files\Quick Time)- CoolWebSearch и Dialer.Trafficadvance
4) WinampAgent( C:\Program Files\Winamp\ winampa.exe)-- тут обнаружены Win32RBot, BackdoorAgobot.nc,Backdoor.Win32.Webdoz.p, Backdoor.SdBot.ld и Tactslay.B (или W32Agobot-GS)
5) CTFMON.EXE ( из system32 в процессе ctfmon.exe) - здесь CoolWebSearch Ctfmon 32, Infostealer.Raidys и Troj/ Spyhoax-A
Мне просто не верится что вся эта гадость могла попасть в систему (когда вроде бы все тщательно проверяется на наличие вирусов и тп)
P.S. последнее время замечала такое----процесс прога детектирует (напр MsAgent.exe), а потом сообщает об ошибке, т.к. такого процеса нет и быть не могло!! И в автозапуске "ругается" на WebCheck (webcheck.dll из system32) - что это W32.Cone.D@mm и W32.Cone.F@mm (ЧЕРВИ!!)___ и SysTray (stobject.dll) - заражен червями и троянами!!? (скриншот приложен)
МОЖЕТ это прога глюканутая??? Помогите,пожалуйста...

[Irena]

Вот например об этих "желтых" службах прога пишет: (скриншот 1-й)...
И про другие службы,напр. services.exe (2-й)..
И другие "желтые" svchost.exe имеют такие "комментарии"(3-й),также эти "свхосты" (4-й)(((3-й и 4-й не уместились на сервере--придется выложить после того как будут ненужны предыдущие 2 файла (1-й и 2-й).....
Посмотрите, пожалуйста, на что это похоже???

[PavelA]

@Irena Давайте поступим так: Скачайте Cure-It на заведомо чистом РС, сбросьте его на диск.
Проверьте систему в защищенном режиме (Safe Mode), а затем в нормальном. Лучше если есть такая возможность, загрузившись с СД.

Логи приложите сюда. После этих проверок будем делать выводы.

Второй вариант, не исключающий первого:

1) mdm.exe (из Program Files\Common Files\Microsoft Shared\VS7Debug) там был P2P-Worm.Win32.VB.at,
2) nerocheck.exe (С:\WINDOWS\system32\Nerocheck.exe) -там Trojan-Proxy.Win32.Small.de,и_ Tactslay Family
3) gttask.exe ( из С:\Program Files\Quick Time)- CoolWebSearch и Dialer.Trafficadvance
4) WinampAgent( C:\Program Files\Winamp\ winampa.exe)-- тут обнаружены Win32RBot, BackdoorAgobot.nc,Backdoor.Win32.Webdoz.p, Backdoor.SdBot.ld и Tactslay.B (или W32Agobot-GS)
5) CTFMON.EXE ( из system32 в процессе ctfmon.exe) - здесь CoolWebSearch Ctfmon 32, Infostealer.Raidys и Troj/ Spyhoax-A

- эти файлы найти через AVZ. Добавить в карантин и загрузить через ссылку вверху темы.

[Irena]

1) В Safe Mode- CureIT ничего не нашел, но AVAST смог найти еще 3 вредоносных файла,зараженные по его мнению Win 95: CIH-1106, Win32:CTX и Win32:Agent-AWB.. Вот логи от CureIT((в Safemode и в обычном режиме)) и Avast (пути файлов, которые потом были удалены). Подозрительны некоторые файлы .exe -как оказалось службы и файлы из автозапуска (архив Rar)
Высылаю подозрительные файлы (службы,которые AVZ посчитал подозрительными). Но при перемещении в карантин некоторых файлов в протоколе AVZ говорится об ошибке прямого чтения--вот лог---файл называется ___avz(pri avtokarantine)_log.txt. Что это означает??
2) P.S. Сомнение вызывает то что временами процесс svchost.exe просится на изменение/перезапись...Avast предлагает эту "перезапись" разрешить/запретить..Я запрещала..Это вообще нормально??? Или все-таки не пускать svchost.exe на изменение???

3) ДА--и еще пробовала устанавливать McAfee... предлагал потереть некоторые ветки реестра..стоит ли в этом ему довериться??? Хотя тот же HiJakcFree распознает все его модули как вирусные!!! службы!!?? Подскажите,плизз,в чем тут дело...

[Irena]

"Карантин" пришел?? Файл сохранён как071012_135114_virus-podozritelnie slujbi_470fc222dd237.zipРазмер файла4823633MD5ecc0d17ebacb8871cc703ee2f6d15260

[Irena]

1) В Safe Mode- CureIT ничего не нашел, но AVAST смог найти еще 3 вредоносных файла,зараженные по его мнению Win 95: CIH-1106, Win32:CTX и Win32:Agent-AWB.. Вот логи от CureIT((в Safemode и в обычном режиме)) и Avast (пути файлов, которые потом были удалены). Подозрительны некоторые файлы .exe -как оказалось службы и файлы из автозапуска (архив Rar)
Высылаю подозрительные файлы (службы,которые AVZ посчитал подозрительными). Но при перемещении в карантин некоторых файлов в протоколе AVZ говорится об ошибке прямого чтения--вот лог---файл называется ___avz(pri avtokarantine)_log.txt. Что это означает??
2) P.S. Сомнение вызывает то что временами процесс svchost.exe просится на изменение/перезапись...Avast предлагает эту "перезапись" разрешить/запретить..Я запрещала..Это вообще нормально??? Или все-таки не пускать svchost.exe на изменение???

3) ДА--и еще пробовала устанавливать McAfee... предлагал потереть некоторые ветки реестра..стоит ли в этом ему довериться??? Хотя тот же HiJakcFree распознает все его модули как вирусные!!! службы!!?? Подскажите,плизз,в чем тут дело...

________________
Ответьте пожалуйста на Все эти (может даже и не очень умные/логичные) вопросы/запросы. Это для меня Оччень важно!!!!!!!!
___
P.S>Может я ....или не все так плохо???

[Irena]

Да,еще,если не трудно...если программа/диск(виртуальный) содержит "decompression bomb"? Это нормально?Так и должно быть?

[PavelA]

Это файл очень большого размера. Вполне м.б. и безвредный.

[Irena]

Спасибо,PavelA, а на предыдущие вопросы ответьте,если можно...