файл proper.exe + sol718(Trojan Horse)

[Микро]

Также как и чуть ранее происходило у "Мирная" при загрузке выдаёт сообщение, что необходимо найти файл Windows/system32/proper.exe
Изначально был блокирован диспетчер задач, не выполнялся вход в панель управления, брандмауэр Windows, свойства "Мой компьютер"
После чистки в Safe Mode Dr Web нашёл полторадесятка вирусов и всё. Нортон постоянно поёт о SOL718.TXT и sol718.txt, но ничего поделать не может.
Диспетчер задач сейчас восстановлен.
Запись о необходимости proper'а загружается и при входе в Safe Mode.
Попробовал решения, предложенные в ситуации для "Мирная", но они проблемы не решили полностью, хотя сейчас доступна Панель управления, брандмауэр и свойства "Мой компьютер".

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('c:\windows\system32\_svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\sol718.txt','');
 QuarantineFile('C:\WINDOWS\system32\pr2agqwc.exe','');
 SetServiceStart('msupdate', 4);
 DeleteService('msupdate');
 DeleteService('FCI');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 SetServiceStart('Microsoft Inet Service', 4);
 DeleteService('Microsoft Inet Service');
 QuarantineFile('Synr68.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Lrx06.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe','');
 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('c:\windows\system32\pnkbstra.exe','');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
 DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
 DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
 DeleteFile('C:\WINDOWS\system32\sol718.txt');
 DeleteFile('C:\WINDOWS\system32\bronto.dll');
DeleteFileMask('C:\Documents and Settings\User\Local Settings\Temp', '*.tmp', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку.
Сделайте новые логи и приложите их к своей теме.

[Микро]

Огромное спасибо. Нортон теперь временно спокоен.
Но тем не менее при загрузке появляется надпись с красным крестиком:
Windows не удалось найти 'C:\WINDOWS\system32\proper.exe'. Проверьте, чтобы имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите "Пуск", а затем выберите команду "Найти"
Может, это и не вирус, но тогда что?
К тому же появилось это вместе с ними.
Оставлял на ночь делать логи - по свойствам, вроде они обновились.

[Bratez]

1. Очистите временные файлы IE через "Свойства обозревателя".

2. Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O20 - AppInit_DLLs: C:\WINDOWS\system32\sol718.txt
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)

3. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sysrest.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\NdisWon.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Synr68.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lrx06.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\Synr68.sys');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\NdisWon.sys');
 DeleteFile('C:\WINDOWS\system32\sysrest.sys');
 DeleteFileMask('C:\WINDOWS\Temp', '*.tmp', false);
BC_ImportALL;
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Lrx06');
BC_DeleteSvc('Microsoft Inet Service');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
4. Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
5. Сделайте новые логи.

[AndreyKa]

В первом карантине пришли:
c:\windows\system32\_svchost.exe - Trojan.DownLoader.origin, Trojan-Downloader.Win32.Tiny.adc
C:\WINDOWS\System32\DRIVERS\smtpdrv.sys - Trojan.NtRootKit.360, Email-Worm.Win32.Agent.l
c:\windows\system32\mssrv32.exe - Trojan-Downloader.Win32.Small.hbq
C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe - AdWare.Win32.TMAagent.j
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll - AdWare.Win32.TMAagent.k

[Микро]

Тем не менее:
- окно о файле proper.exe всё равно продолжает выскакивать
- замедлилась работа Интернет, обрывается подключение к серверам сетевых игр (после перезагрузки компьютера подключение удаётся, но производительность упала)
- Нортон снова напоминает о себе, сообщая о различных вирусах, удаляя их с переменным успехом.
Посмотрите, что не так, пожалуйста. Может изменились настройки подключения?
Хотя больше всего меня волнует файл properexe. Чую, что в нём есть суть.
Смотрю, аналогичная проблема волнует и ещё людей, надо найти выход

Карантин высылаю по ссылке указанной выше, верно?

[AndreyKa]

Хотя больше всего меня волнует файл properexe. Чую, что в нём есть суть.

На самом деле это сущий пустяк. Он должен был пропасть, если бы вы выполнили пункт 2 сообщения Bratez.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 ExecuteRepair(16);
 QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
 DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654');
 DelCLSID('B863453A-26C3-4e1f-A54D-A2CD196348E9');
 DelCLSID('D27987B8-7244-4DE0-AE10-39B826B492F1');
 DelCLSID('B5AF0562-94F3-42BD-F434-2604812C297D');
 DelCLSID('B5AC49A2-94F3-42BD-F434-2604812C897D');
 QuarantineFile('C:\WINDOWS\ai.pif','');
 DeleteFile('C:\WINDOWS\ai.pif');
 BC_DeleteFile('C:\WINDOWS\ai.pif');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GT6JE9IB\win1[1].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A7SP8ZAZ\winzl[1].exe');
 SysCleanAddFile('C:\WINDOWS\system32\sol718.txt');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ.
Обновите базы AVZ.
Сделайте новые логи и приложите их к своей теме.

Добавлено через 3 минуты

- Нортон снова напоминает о себе, сообщая о различных вирусах, удаляя их с переменным успехом.

О каких именно вирусах и в каких файлах? При каких условиях? Когда сайты в интернете посещаете?
Обновления на Windows установленны?
Почитайте это:
http://security-advisory.newmail.ru/EBook.htm

Добавлено через 3 минуты

И еще.
Перед выполнением скрипта шелкните в AVZ меню -> AVZPM -> Установить драйвер расширенного мониторинга процессов.

[XP user]

Если можно, AndreyKa, хочу добавить кое-что.
2 Микро:

Настоятельно рекомендую ОТКЛЮЧИТЬ Нортон и АГАВА Файрвол во время лечения. Спасибо за понимание.

Paul

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\a7sp8zaz\\winzl[1].exe - Trojan-Downloader.Win32.Agent.jkv (DrWEB: BackDoor.Bulknet.107)
  2. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\gt6je9ib\\win1[1].exe - Trojan-Downloader.Win32.Agent.jkv (DrWEB: BackDoor.Bulknet.107)
  3. c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - not-a-virus:AdTool.Win32.TMAagent.k (DrWEB: Adware.Softomate.104)
  4. c:\\progra~1\\common~1\\target~1\\tmagent\\tmasrv. exe - not-a-virus:AdTool.Win32.TMAagent.j (DrWEB: Adware.Softomate.105)
  5. c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)
  6. c:\\windows\\system32\\drivers\\synr68.sys - Trojan.Win32.Agent.dnj
  7. c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.hbq (DrWEB: Trojan.Packed.560)
  8. c:\\windows\\system32\\_svchost.exe - Trojan-Downloader.Win32.Winlagons.l (DrWEB: Trojan.DownLoader.38290)