Система едва дышит. Антивирусы принудительно закрываются.

[Kyrioss]

ДОбрый день!

Прошу помощи.


Проблема следующего рода.

Внешние признаки: Windows XP (SP3)

1. Невозможно зайти на некоторые сайты, в т.ч. virusinfo.info --> пишу c другой машины.
2. Все медленно работает. Firefox при запуске ОЧЕНЬ долго думает, запускается с ошибками.
3. Периодически начинает усиленно работать HDD.
4. Надолго подвисает меню после нажатия кнопки ПУСК.
5. Антивирусы NOD32, Spybot мирно продолжают работать, ничего не находят. Но NOD32 перестал обновляться: не видит сервера.



Если на странице браузера или в проводнике или в ином приложении есть слова AVZ, HijackThis, VirusRemovalTool и т.п., приложение принудительно закрывается.
Переименование файлов ничего не дает. Если упорствовать с запуском, то перезапускается explorer.exe, если совсем упорствовать, то explorer.exe слетает вовсе.

В Безопасном режиме наблюдается таже картина с той лишь разницей, что теперь не explorer.exe слетает, а комп уходит в перезагрузку.

При снятом в процессах explorer.exe возможно _иногда_ запустить что-нибудь из перечисленного и успеть выполнить.

Однако установленый таким образом hijackThis удаляется при первом же запуске explorer.exe, а иногда и до.


Визуально есть 2 подозрительных, мягко говоря, файла свежей даты:

c:\windows\system32\ШjУ+ 24.11.2010
c:\windows\system32\'dn? 07.12.2010




Прикрепляю логи Hijackthis, AVZ, кое-как сделанные при снятом explorer.exe

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\DOCUME~1\KHOLMO~1.ETV\LOCALS~1\Temp\1CCgnLmH.sys','');
 QuarantineFile('C:\WINDOWS\system32\cupkngb.exe','');
 QuarantineFile('C:\WINDOWS\system32\yauvfea.exe','');
 QuarantineFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA','');
 DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA');
 DeleteFile('C:\WINDOWS\system32\yauvfea.exe');
 DeleteFile('C:\WINDOWS\system32\cupkngb.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(20);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Есть возможность сделать логи в обычном режиме?

[Kyrioss]

Карантин прислал.

Логи удалось сделать в обычном режиме. Системе стала заметно лучше.
Но похоже что-то ещё осталось.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA');
 DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA');
 DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!');     
 DeleteFile('C:\WINDOWS\system32\cupkngb.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 SetAVZPMStatus(false);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повторите логи

[Kyrioss]

Логи повторно.

p.s.

Файлы в system32 присутствуют

c:\windows\system32\ШjУ+ 24.11.2010
c:\windows\system32\'dn? 07.12.2010

[olejah]

Сделайте лог ComboFix

[Kyrioss]

Лог ComboFix

[olejah]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\ШjУ†
c:\windows\system32\'dnЂ

Driver::

NetSvc::

Folder::
c:\program files\Common Files\a8361eb9a
c:\program files\Common Files\A8361DA3a

Registry::



FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Kyrioss]

Ранее указанные файлы исчезли.

Новый отчёт ComboFix.

[olejah]

Что с проблемой в целом?

[Kyrioss]

Вроде все чисто. Описанные ранее симптомы отсутствуют.
Olejah, Большое спасибо! Всё очень чётко и оперативно.

ps По всей видимости, осталось удалить ComboFix.

[olejah]

Всегда пожалуйста.

ps По всей видимости, осталось удалить ComboFix.

Да, делается это так - http://virusinfo.info/showpost.php?p=500136&postcount=2

Но самое главное - обновляемся, рекомендуется -

- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.

[thyrex]

А также

Смените все пароли

[Kyrioss]

А также

Смените все пароли

Локальные или которые использовал в это время, заходя на сайты?

[olejah]

Все. Они все могли уйти на сторону.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\yauvfea.exe - Backdoor.Win32.Shiz.auh ( DrWEB: Trojan.MulDrop1.52532, BitDefender: Trojan.Generic.KDV.85506, AVAST4: Win32:Malware-gen )