Злой вирус. Заблокированы антивирусы. Странный процесс в памяти

[dima_ku]

Здравствуйте.
Windows XP sp 3. Перестал запускаться антивирус Symantec. После его удаления, был установлен KIS 2011, который тоже не запустился. Систему проверил DR Web Cure IT и AVP Tool. Были найдены вирусы, удалены, но в процессах висит странный процесс 351999392.....exe.
AVZ пишет c:\windows\351999392:1609172203.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Блокируется попытка лечения AVZ, и AVP Tool. К их исполняемым файлам вирус запрещает доступ после попытки лечения.
AVZ закрывается вирусом при попытке сделать Скрипт сбора информации для раздела "Помогите!" virusinfo.info
При запуске HijackThis по команде на составление лога HijackThis закрывается.
Поэтому выкладываю только virusinfo_syscure.zip
Просьба помочь. Убил уже кучу времени. Мысли кончились. Осталась только полная переустановка системы.

[Info_bot]

Уважаемый(ая) dima_ku, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Acidorum]

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\351999392:1609172203.exe:$DATA','');
QuarantineFile('c:\windows\351999392:1609172203.exe','');
QuarantineFile('c:\windows\system32\wuauclt.exe','');
DeleteFile('c:\windows\351999392:1609172203.exe');
DeleteFile('c:\windows\351999392:1609172203.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

[dima_ku]

Скрипты выполнил, файл с карантином закачал - 110823_052000_quarantine_4e533880ddbab.zip
Процесс опять висит в памяти 351999392:1609172203.exe
AVZ закрывается вирусом при попытке сделать Скрипт сбора информации для раздела "Помогите!" virusinfo.info
При запуске HijackThis по команде на составление лога HijackThis закрывается.
Поэтому выкладываю только virusinfo_syscure.zip

[Acidorum]

c:\windows\system32\wuauclt.exe - Trojan.Win32.Patched.mf.
Замените этот файл с дистрибутива или с аналогичной системы.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\351999392:1609172203.exe');
DeleteFile('c:\windows\351999392:1609172203.exe:$DATA');
BC_DeleteFile('c:\windows\351999392:1609172203.exe:$DATA');
BC_DeleteFile('c:\windows\351999392:1609172203.exe');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

[dima_ku]

Файл заменил. Скрипты выполнил. Проблема осталась. В безопасном режиме этого процесса 351999392:1609172203.exe не видно.
Карантин закачал 110823_115258_quarantine_4e53949adda94.zip

[Nikkollo]

В безопасном режиме выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipsec.sys','');
 DeleteFile('c:\windows\351999392:1609172203.exe');
 DeleteFile('c:\windows\351999392:1609172203.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново логи и приложите в теме.

Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.

[dima_ku]

Пока ждал ответа решил просканировать диски с загрузочного CD Касперского.
В ipsec.sys был вирус, касперский его удалил.
Процесс в памяти больше не появляется. Антивирусы стали запускаться.
Появилась проблема с сетевым подключением. Не идут пакеты. Не работает сеть.
Протокол TCP сбрасывал. tcpip.sys заменял. Не помогло.
И еще в папке System32 появляются 2 папки с числовыми названиями, которые не дает удалить.
Видимо еще что-то на компе живет.
Высылаю все логи.

[dima_ku]

Переустановил систему поверх старой. Интернет и сеть заработала.
Правда в папке System32 все равно появляются 2 пустые папки с числовыми названиями 1033 и 1049, которые не дает удалить.
В остальном все ОК.
Большое спасибо за помощь.

[V_Bond]

установите все доступные обновления системы и повторите логи (без обновлений проблема не решится)

[dima_ku]

Установил обновления. Перепроверил разными антивирусами. Все в порядке. Выкладываю на всяк случай логи.

[V_Bond]

ничего подозрительного

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\wuauclt.exe - Trojan.Win32.Patched.mf ( DrWEB: Trojan.Starter.1695, BitDefender: Trojan.Patched.HE, NOD32: Win32/Patched.HN trojan, AVAST4: Win32:Patched-WQ [Trj] )
  2. c:\\windows\\351999392:1609172203.exe - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )
  3. c:\\windows\\351999392:1609172203.exe:$data - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )