BackDoor

[Arcems]

В последнее время начал тормозить компьютер. Взял я Dr.web curiet и проверился в безопасном режиме. Нашло у меня не много BackDoor'а и Win32.(эмм... Забыл название вируса,но он заражает все .exe которые запустили и потом пишет "Приложение не является Win32"). Не долго думая я снес винду с полной форматировкой HDD(как то раз перед этим я мучался с этим вирусом(не BackDoor)). Ну после этого начал тупить интернет(когда я снес винду уже). Скайп, ася - работали нормально. Браузеры очень сильно тупили. Вот проверился опять же dr.web curiut и опять же нашел BackDoor'а(их там было много разных, но я запомнил только Backdoor.IRC.Bot.131 и Backdoor.ddoser.131(были еще какие-то). Ну вроде удалил. Тормоза интернета так и не прошли. Сейчас нахожу странные файлы. Вот.

Автозагрузка

Так же в дисп.задач странные процессы(по 2 цифры есть, это вроде Backdoor.ddoser.131).Когда я по закрывал все что не надо, интернет стал работать нормально.
Автозагрузку через CCleaner чистил. Все восстановилось.
Ах да, не могу скачать AVZ, по этому логов от туда не дам.

Пока я писал сообщение, включился сам процесс который блокирует интернет.

Добавил логи AVZ, в дисп задач заметил 10+ iexplorer.exe

[Info_bot]

Уважаемый(ая) Arcems, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Arcems]

Если что, комп слабый.

- - - Добавлено - - -

Обновил 1 пост

- - - Добавлено - - -

Ну хелпайте же...

- - - Добавлено - - -

При старте систем пишет отчет о ошибке "explorer.exe" и еще какого-то файла. И открывается проводник

[Techno]

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\76.exe','');
 QuarantineFile('C:\WINDOWS\system32\74.exe','');
 QuarantineFile('C:\WINDOWS\system32\57.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('C:\WINDOWS\system32\45.exe','');
 QuarantineFile('C:\WINDOWS\system32\40.exe','');
 QuarantineFile('C:\WINDOWS\system32\24.exe','');
 QuarantineFile('C:\WINDOWS\system32\17.exe','');
 QuarantineFile('C:\WINDOWS\csdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\5D762C36-18CD0FE3-4F1EAEA3-4B2DF85\omwskxya.exe','');
 QuarantineFile('C:\Documents and Settings\Arcems\Application Data\RECYCLER\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\Arcems\Application Data\RECYCLER\ecleaner.exe','');
 QuarantineFile('C:\Documents and Settings\Arcems\Application Data\Azqyqy.exe','');
 DeleteFile('C:\Documents and Settings\Arcems\Application Data\Azqyqy.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Azqyqy');
 DeleteFile('C:\Documents and Settings\Arcems\Application Data\RECYCLER\ecleaner.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Cache Cleaner');
 DeleteFile('C:\Documents and Settings\Arcems\Application Data\RECYCLER\svchost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Remote Security Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 DeleteFile('C:\WINDOWS\csdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\17.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\40.exe');
 DeleteFile('C:\WINDOWS\system32\45.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\76.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

Установите новый Internet Explorer, а также все доступные обновления для Windows

После всех обновлений:
- Сделайте лог полного сканирования MBAM.

[Arcems]

Сейчас делаю восстановление стандартных файлов win, на это не как не повлияет?

[Techno]

Сейчас делаю восстановление стандартных файлов win, на это не как не повлияет?

нет.

[Arcems]

Перед этим логи удалял.
Куча IEXPLORER.EXE в дисп. зачадач
Именно капсом

- - - Добавлено - - -


на ие не заходит, на обновление то же

[thyrex]

Лог МВАМ где?

[Arcems]

Написали же после IE и обновление. Я их не сделал. На сайт не заходит. Сейчас сделаю.

- - - Добавлено - - -


не заходит. В Hosts пусто

[thyrex]

Сделайте лог ComboFix

[Arcems]

Сделал

- - - Добавлено - - -

После лога ComboFix начало заходить на все сайты что не заходило, сейчас установлю обновление, IE и сделаю лог MBAB

- - - Добавлено - - -

IE обновил, дальше не могу.(Win) заподозрил с этими iexpore.exe Висит в процесах 20+. Со включеным IE Я резко релогнул комп(через кнопку) и потом восстановил сесию. У меня открылось 14 браузеров с какой то 1 страницой которая не грузит.

- - - Добавлено - - -

Обновление установил через Windows Update(137 обновлений :3)

- - - Добавлено - - -

mssip1.dll mssip2.dll mssip3.dll
Нашел в AVZ автозагрузке, погуглив-понял что это вирус. Вродь удалил

- - - Добавлено - - -


Так и должно быть? Или это то что запускает много браузеров?

- - - Добавлено - - -


Не работает эта кнопка к файлам которые я выделил. То есть она горит, но при нажатие на неё и загрузки пару секунд нечего не меняется, видимо что-то восстонавливает.

- - - Добавлено - - -

ntbackup.exe
аналогично

- - - Добавлено - - -

ntmarta.dll тоже
psxss.exe не идет в карантин, не восстонавливается
userrinit.exe не востонавливается
win32k.sys
короче, пошел ставить win7

[thyrex]

C:\winlgn.exe проверьте на virustotal Ссылку на результат проверки сообщите

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\arcems\\application data\\recycler\\ecleaner.exe - Trojan.Win32.Jorik.IRCbot.nnw ( DrWEB: Trojan.DownLoad3.9359, BitDefender: Gen:Variant.Kazy.78752, AVAST4: Win32:Kolab-AAF [Trj] )
  2. c:\\documents and settings\\arcems\\application data\\recycler\\svchost.exe - Trojan.Win32.Jorik.IRCbot.nnl ( DrWEB: Trojan.DownLoad3.9359, BitDefender: Gen:Variant.Kazy.78752, AVAST4: Win32:Ruskill-FB [Trj] )
  3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Backdoor.Win32.Azbreg.aiv ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Generic.KDV.658638, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Jorik-JD [Trj] )
  4. c:\\windows\\csdrive32.exe - Trojan.Win32.Jorik.IRCbot.niu ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.658621, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ETS [Trj] )
  5. c:\\windows\\system32\\17.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )
  6. c:\\windows\\system32\\24.exe - Backdoor.Win32.Floder.isd ( DrWEB: Trojan.DownLoader6.24615, BitDefender: Gen:Variant.Kazy.78679, AVAST4: Win32:Kolab-AAF [Trj] )
  7. c:\\windows\\system32\\40.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )
  8. c:\\windows\\system32\\45.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )
  9. c:\\windows\\system32\\53.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )
  10. c:\\windows\\system32\\57.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )
  11. c:\\windows\\system32\\74.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )
  12. c:\\windows\\system32\\76.exe - Backdoor.Win32.Azbreg.aiw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.659265, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Jorik-JD [Trj] )