Неустранимые процессы в диспетчере задач win7service.exe wmau.exe и т.п

[Rene-gad]

Процесс mcdrive32.exe не дает возможности воспользоваться МБАМ.

т.е. скрипт гмер прошел, комп перегрузился, а теперь mcdrive32.exe появляется и мешает?
Убейте его гмером вручную: gmer>>>Files, находите mcdrive32.exe, Kill.

[Nobrain]

А в процессах не висит ничего вида 02.exe? Если да, то их прибить тоже.

P.S. Очень странно, что CureIt! не справился. Он должен был выцепить по крайней мере файл в корне диска + (возможно) зловреды в system32 + экзешники во временных папках (Documents&Settings\NetworkSettings\LocalSettings + темпы текущего пользователя).

В том то и дело, меня самого это несколько... эм.. удивило.. я уже писал выше, что утром сканирование Куром показало всего пяток зараженных файлов, кур их удалил, и все отлично, попросил перезагрузку, после перезагрузки автоматом запускается сканирование PREVXа, он на первом же скане нашел больше 100 зараженных экзешников и прочего ВПшнорго хлама=(

[Rene-gad]

- Выполните команды в GMER.

Код:

gmer.exe -del service swkxjtbl
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman"
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup"
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup"
gmer.exe -del file "C:\WINDOWS\System32\Drivers\swkxjtbl.sys"
gmer.exe -del file "C:\WINDOWS\system32\msvcrt2.dll"
gmer.exe -del file "C:\WINDOWS\system32\secupdat.dat"
gmer.exe -del file "C:\WINDOWS\hosts"
gmer.exe -del file "C:\WINDOWS\mcdrive32.exe"
gmer.exe -reboot

[Nobrain]

т.е. скрипт гмер прошел, комп перегрузился, а теперь mcdrive32.exe появляется и мешает?
Убейте его гмером вручную: gmer>>>Files, находите mcdrive32.exe, Kill.

нет, сообщение которое вы процитировали было написано мной в ответ на Вашу просьбу удалить файлы с помощью МБАМ, мсдрайв не позволил пользоваться этим приложением, после этого я опять полез на форум и нашел уже следующий пост про ГМЕР, начал выполнять инструкции, результат я описал, тарабарщина в логах, комп не перезагрузился, карантин пуст.

[Rene-gad]

Выполнение скрипта ГМЕР прошло как то странно, в окошке логов появилась следующая информация(

это у меня кодировка барахлит или такое сообщение было?

Добавлено через 53 секунды

комп не перезагрузился, карантин пуст.

См. сообщение 23.

[Nobrain]

- Выполните команды в GMER.

Код:

gmer.exe -del service swkxjtbl
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman"
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\Microsoft Driver Setup"
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Microsoft Driver Setup"
gmer.exe -del file "C:\WINDOWS\System32\Drivers\swkxjtbl.sys"
gmer.exe -del file "C:\WINDOWS\system32\msvcrt2.dll"
gmer.exe -del file "C:\WINDOWS\system32\secupdat.dat"
gmer.exe -del file "C:\WINDOWS\hosts"
gmer.exe -del file "C:\WINDOWS\mcdrive32.exe"
gmer.exe -reboot

Инструкцию выполнил, эфект опять тот же, тарабарщина в логах, нет перезагрузки.
П.С. Скрипт выполняю следующим образом, запуск GMER => ">>>" => CMD (точка по умолчанию стоит в cmd.exe), копирую тело скрипта, жму ран.

Добавлено через 39 секунд

это у меня кодировка барахлит или такое сообщение было?

Добавлено через 53 секунды

См. сообщение 23.

это такое сообщение.

[Rene-gad]

Зайдите в безопасном режиме.
Попробуйте в gmer вручную найти и удалить хотя бы один из файлов в списке (gmer>>>>> Files)

[Nobrain]

C:\WINDOWS\System32\Drivers\swkxjtbl.sys не найден

C:\WINDOWS\system32\msvcrt2.dll не найден есть похожие файлы msvcrt.dll, msvcrt20.dll и msvcrt40.dll

C:\WINDOWS\system32\secupdat.dat не найден, есть похожий secupd.dat

C:\WINDOWS\hosts удален

C:\WINDOWS\mcdrive32.exe

[Rene-gad]

Скачайте Combofix: http://www.geekstogo.com/forum/Combofix-file197.html и сделайте очистку и лог: http://www.bleepingcomputer.com/comb...o-use-combofix
Пункт о консоли восстановления примите просто к сведению.
Если не поможет - придется сносить систему.

[Nobrain]

Не дожидаясь вашей рекомендации произвел снос системы с последующим форматированием, поставил новую винду, спасения от вируса опять не нашел, однако, не устанавливая соединения с интернетом, в ручном режиме попереудалял все файлы по всем путям обозначенным антивирусниками, перетряхнул все ключи реестра, вычистил без остатка все упоминания обо всех файликах высвечивающихся в диспетчере задач и логах антивируса, как результат, процессы в трее больше не беспокоят, однако осталась последняя дрянь, создает в папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3RGD7R64\ файлик 82[1].exe постоянно один и тот же с одним размером и именем, о котором предупреждает антивирус, удаляется ГМЕРом в ручном режиме, авасту удалять файл не позволется, после удаления этого файла аваст сразу выдает сообщение о том что обнаружен вирус в папке c:\WINDOWS\system32\ в файликах вида 01.ехе 02.ехе и тп, имена всегда разные, при отсутствии связи с интернетом вирь не активируется, и еще, после чистки реестра комп не перезагружался 4 суток и вирь не активировалося, после перезагрузки начались события описанные выше. прикрепляю последние логи.

[NickGolovko]

Вероятно, вам нужен брандмауэр. Попробуйте хотя бы поставить ZoneAlarm Free или что-то подобное. Понаблюдайте также и за исходящей сетевой активностью приложений.

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-8602667165-0506097259-335340837-9104\mwau.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6745497273-6607785107-657093311-1180\csvcs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6745497273-6607785107-657093311-1180\explorer.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-6745497273-6607785107-657093311-1180\csvcs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-6745497273-6607785107-657093311-1180\explorer.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-8602667165-0506097259-335340837-9104\mwau.exe');
 BC_ImportALL;
 ExecuteSysClean;
 ClearHostsFile;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится. После этого пришлите карантин по правилам и повторите диагностику.

Если уже спрашивали - извините, но я не нашел в теме соответствующих вопросов: 91.203.84.200,10.90.0.10 - корректные сервера DNS?

P.S. d:\m04ykzc7.exe -> GMER?

[Nobrain]

Карантин отправил, ДНСки верные, у нас просто локалка так устроена своеобразно, на диске Д это действительно ГМЕР. после скрипта провел диагностику по правилам, и заодно просканился всеми установленными антивирями, ничего никто не нашел. Подскажите пожалуйста, как мне можно "Понаблюдать за исходящей сетевой активностью приложений" вот этот ZoneAlarm Free поможет?

Если нужно прикреплю логи от последней диагностики...

[NickGolovko]

Подскажите пожалуйста, как мне можно "Понаблюдать за исходящей сетевой активностью приложений" вот этот ZoneAlarm Free поможет?

Он будет вас спрашивать, пустить или нет в сеть то или иное приложение. Возможно, по этим запросам вы заметите подозрительную активность.

В карантин ничего не попало. Давайте логи от последней диагностики.

[Nobrain]

Ну собственно я та ки думал что там ничего не будет, после чистки руками осталась только эта проблема, и как бы мне ясно что дрянь эта лезет из сети, как перехватить то что ее сюда заливает, вот в чем проблема.
Буду пробывать зон алармом.

[NickGolovko]

История вашей болезни наводит меня на мысль, что инфекция пришла к вам извне, т.е. из сети. Поэтому вашу машину нужно закрыть брандмауэром; ZA должен неплохо справиться с этой задачей.

Все пока чисто (по крайней мере, удаленное мной зачистилось успешно). После установки брандмауэра можете вернуться на профилактику, чтобы убедиться, что за это время сеть не прислала вам новых сюрпризов...

[Nobrain]

ЗА выявил регулярные атаки на 445 порт, благополучно их пресекает и по ныне, порт закрыл, антивирь молчит, левых файлов в системе не наблюдаю, думаю что проблема решена, однако комп оставлю на карантине еще на сутки, посмотрю что будет. Вам неизмеримое человеческое спасибо, и немного вполне измеримых дензнаков в благодарность(правда чуть позже, надо карточку купить)=)

пойду ковырять оставшиеся 2 компа, надеюсь на вашу помощь если вдруг что=)

Еще раз огромное спасиобо, вынес внушительный мешок знаний и опыта из вашего форума=)

[NickGolovko]

Всегда рады помочь. Чистого вам Интернета.

Чтобы знаний и опыта стало еще больше, можно почитать электронную книгу "Безопасный Интернет" или поступить к нам в студенты

[Nobrain]

Заявку написал, спс за идею-предложение=)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 74
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор.nemo-79d92c3da3\xxcpiju.exe - Backdoor.Win32.Agent.akgd ( AVAST4: Win32:Trojan-gen {Other} )
  2. c:\windows\mcdrive32.exe - Net-Worm.Win32.Kolab.drm ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Dropper.TEC, NOD32: Win32/Agent.PQG trojan, AVAST4: Win32:Rootkit-gen [Rtk] )