Целый букет, компьютер еле жив.

[Mio]

К сожалению, у меня мало информации, потому что в момент заражения за компьютером был не я. В общем без меня тут как-то пытались разобраться, что-то стерли, но проблем не решили.
Основные симптомы следующие:
При старте компьютера выскакивает сообщение о том, что не удалось загрузить драйвер C:\Windows\System32\drivers\gjkphu.sys
Это сообщение потом выскакивает и во время работы. Периодически выскакивают ошибки доступа к файлам и ошибки процессов, которые приводят к их завершению. В конечном счете компьютер не выдерживает и перезагружается.
Я сначала проверил комп новой версией AVZ 4.29, но он как и 4.27 не смог создать лог файлы (Invalid Variant Type). Удалось сохранить только протокол проверки (avz_log.txt). Поэтому привожу логи старой версии.
Лог Hithisjack новой версии.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\xg120625.dll','');
 QuarantineFile('C:\WINDOWS\system32\oh120625.dll','');
 QuarantineFile('C:\WINDOWS\system32\mk120625.dll','');
 DeleteFile('C:\WINDOWS\system32\mk120625.dll');
 DeleteFile('C:\WINDOWS\system32\oh120625.dll');
 DeleteFile('C:\WINDOWS\system32\xg120625.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Загрузите карантин согласно приложению №3 правил. Повторите логи.

[Mio]

Ничего не изменилось. Сообщение по прежнему выскакивает. При сканировании AVZ выдает те же предупреждения.Однако есть одна странность. При перезагрузке (к сожалению я не внимательно следил) кажется произошла двойная перезагрузка. Но это не точно. Однако, строка F2, которую надо было пофиксить, исчезла (отсутствие ее в логе означается не то, что я ее стер, а то что ее там и не было).Карантин загрузил.

[rubin]

85.255.115.101
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa
Ваш провайдер?

Выполните и новый карантин вновь пришлите:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('revisor.dog','');
 QuarantineFile('walign.exe','');
 QuarantineFile('C:\WINDOWS\system32\atiptaxx.exe','');
 QuarantineFile('kdhpy.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe','');
 DeleteFile('C:\WINDOWS\system32\mk120625.dll');
 DeleteFile('C:\WINDOWS\system32\xg120625.dll');
 BC_ImportAll;
 BC_DeleteFile('C:\WINDOWS\system32\xg120625.dll');
 BC_DeleteFile('C:\WINDOWS\system32\mk120625.dll');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[Mio]

Карантин залил.
Насчет провайдера. Я из Москвы, у меня Стрим.

Прошу прощения. В прошлый раз забыл сделать обновление базы.
Провел проверку еще раз последней версией (после обновления баз она заработала нормально). Прикрепляю логи.
Хочу обратить внимание, что в логах должны присутствовать dll-ки лежащие в C:\Temp\KARANTIN\SYST32 Это файлы, который обнаружил отец, когда пытался вылечить компьютер. Эти файлы были созданы в момент заражения. Он их перенес из папки SYSTEM32 в эту папку.

P.S. Сообщение при загрузке компа до сих пор появляется.

[rubin]

Trojan.Win32.KillAV.ne C:\WINDOWS\system32\mk120625.dll
Virus.Win32.Sality.v C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\bh120625.dll
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\ah120625.dll
Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\bh120625.dll
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\ch120625.dll
ВОТ что сменило Ваши серверы на украинские - Trojan.Win32.DNSChanger.aum C:\WINDOWS\system32\kdhpy.exe
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\mk120625.dll
Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\qh120625.dll
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\wg116568.dll
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\oh120625.dll
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\xg120625.dll
Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\ch120625.dll
Trojan.Win32.KillAV.ne c:\windows\system32\xg120625.dll
Virus.Win32.Sality.v C:\WINDOWS\system32\atiptaxx.exe
Virus.Win32.Sality.v C:\WINDOWS\TEMP\3.tmp
Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\qh120625.dll
not-a-virusownloader.Win32.Popcap.a C:\WINDOWS\Downloaded Program Files\popcaploader.dll
Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\ah120625.dll
Солидно... сейчас напишу план операции

Добавлено через 9 минут

1. Скачиваете с сайта провайдера нужные сетевые настройки - DNS-серверы и прочее
2. Скачиваете лечащую утилиту CureIT (желательно на здоровом компьютере), записываете на компакт диск - у Вас тут и файловый вирус в наличии
3. Отключаетесь от сети, выгружаете антивирус
4. Выполняете скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\mk120625.dll');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\bh120625.dll');
 DeleteFile('C:\WINDOWS\system32\kdhpy.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\qh120625.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\ch120625.dll');
 DeleteFile('c:\windows\system32\xg120625.dll');
 DeleteFile('C:\WINDOWS\system32\atiptaxx.exe');
 DeleteFile('C:\WINDOWS\TEMP\3.tmp');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\ah120625.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\oh120625.dll');
 DeleteFileMask('C:\Temp\KARANTIN\SYST32\', '*.*', false);
 DeleteDirectory('C:\Temp\KARANTIN\SYST32\');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

5. Фиксите в HiJackThis:

Код:

O4 - Startup: PowerReg SchedulerV2.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{150DB5AC-1F8A-4229-8630-0D0F9EB5F992}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D640CCF-615A-4753-ADBB-634355DEEC8D}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DE5C1B6-A6CC-49A7-83AE-CA0AB863D00E}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD25A1B6-029A-4888-8BB7-686C2896D834}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68

Этим мы сбрасываем настройки интернета, придется прописать их по новой
6. Делаете полную проверку компьютера CureIt - файловое заражение должно вылечиться
7. Поздравляете отца с тем, что всех зловредов он заметил
8. Делаете новые логи

[Fireborg]

эти уже KAV лечит, так что удалять их не обязательно

Virus.Win32.Sality.v C:\WINDOWS\system32\atiptaxx.exe
Virus.Win32.Sality.v C:\WINDOWS\TEMP\3.tmp
Virus.Win32.Sality.v C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe

[rubin]

Лечить то лечит... но кроме вирусной инфекции ничего полезного в них нет, это не зараженные системные файлы

[Fireborg]

Лечить то лечит... но кроме вирусной инфекции ничего полезного в них нет, это не зараженные системные файлы

Уверяю Вас, что это не так, под таким именем могут детектироваться только заражённые файлы.

[rubin]

3.tmp - полезный системный файл ?
PowerReg SchedulerV2.exe - тоже?
Возможно вредоносный код в них и в зараженных файлах системы один - потому детект одинаков, но если вылечить системный файл - получим работоспособную программу, а если эти - получим бесполезную пустышку...
Хотя возможно ошибаюсь...пациента что-то не видно

[pig]

Файловые вирусы надо изгонять, не разбираясь, что там заражено. Мух от котлет будем отделять позже.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 52
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\powerreg schedulerv2.exe - Virus.Win32.Sality.v (DrWEB: Win32.Sector.4)
  2. c:\\temp\\karantin\\syst32\\ah120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  3. c:\\temp\\karantin\\syst32\\bh120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  4. c:\\temp\\karantin\\syst32\\ch120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  5. c:\\temp\\karantin\\syst32\\mk120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  6. c:\\temp\\karantin\\syst32\\oh120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  7. c:\\temp\\karantin\\syst32\\qh120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  8. c:\\temp\\karantin\\syst32\\wg116568.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  9. c:\\temp\\karantin\\syst32\\xg120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  10. c:\\windows\\system32\\ah120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  11. c:\\windows\\system32\\atiptaxx.exe - Virus.Win32.Sality.v (DrWEB: Win32.Sector.4)
  12. c:\\windows\\system32\\bh120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  13. c:\\windows\\system32\\ch120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  14. c:\\windows\\system32\\kdhpy.exe - Trojan.Win32.DNSChanger.aum (DrWEB: a modification of Trojan.Packed.156)
  15. c:\\windows\\system32\\mk120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  16. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.aay (DrWEB: Trojan.Proxy.2486)
  17. c:\\windows\\system32\\oh120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  18. c:\\windows\\system32\\qh120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  19. c:\\windows\\system32\\xg120625.dll - Trojan.Win32.KillAV.ne (DrWEB: Win32.Sector.4)
  20. c:\\windows\\temp\\3.tmp - Virus.Win32.Sality.v (DrWEB: Win32.Sector.4)