Подцепил трояна(ов) из Интернета, svchost, LogCrypt, actcontroller, ip6fw. Не могу избавится.

[marvak]

Сначала с какого-то момента во время просмотра сайтов заметил, что трафик стал улетать очень быстро. Потом после следующего включения компа, он напрочь отказывался перегружаться и уходил в ребут, или выдавал синий экран смерти. Загрузиться удавалось только в безопасном режиме. В безопасном режиме проверил NOD32 тот обнаружил что файл svchost.exe видимо заражен вирусом. Также проверил AVZ - тот тоже нашел несколько зараженных файлов (ip6fw.dll например) Удаление его в общем никаких результатов не принесло и я переустановил винду поверх старой, без форматирования диска C:\
Компьютер стал загружаться, но трафик по прежнему жрется очень сильно. Также в system32\drivers есть файл ip6fw.dll на который в первый раз ругался AVZ, но на этот раз не ругается. Проверил CureIT-ом, тот нашел несколько троянов. Его лог и остальные (AVZ, HIJACK) прилагаю.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Xqb33\0000', 'CSConfigFlags', '1');
 BC_DeleteSvc('Xqb33');
 BC_Activate;
 RebootWindows(true);
end.

Потом ещё один

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');  
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Загрузите карантин согласно приложению №3 правил. Повторите логи.

[marvak]

Ок, но ответить смогу только завтра, поскольку комп домашний.

[marvak]

Скрипты выполнил, логи прилагаю.

[marvak]

и как логи?

[V_Bond]

пофиксите ....

Код:

O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

повторите ...
hijackthis.log

[marvak]

Строку пофиксил, вроде исчезла.
CureIt в безопасном режиме вирусов не нашел.
Логи прилагаю.

Вот еще кое-что подозрительное:

1.
В папке c:\windows\ есть файлы типа
3184958.exe_
3399616.exe_
с числовыми названиями и расширением exe_
на которые CureIt в прошлый раз ругался как на инфицированные трояном. Счас правда не ругается.

2.
В службах висит подозрительная служба - FCI
правда я ее отключил
Исполняемй файл: C:\WINDOWS\system32\svchost.exe:ext.exe
Что это за служба и как ее снести?

3.
В Просмотре событий есть подозрительные строки (раньше их не было)

а.Источник: NMIndexingService
Не найдено описание для события с кодом ( 0 ) в источнике ( NMIndexingService ).
Возможно, на локальном компьютере нет нужных данных в реестре
или файлов DLL сообщений для отображения сообщений удаленного компьютера.
Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
- дополнительные сведения об этом содержатся в справке.
В записи события содержится следующая информация: Service started.

б.Источник: redbook
Это устройство не поддерживает воспроизведение оцифрованного звука.

в.sfsync02
Не найдено описание для события с кодом ( 12 ) в источнике ( sfsync02 ).
Возможно, на локальном компьютере нет нужных данных в реестре
или файлов DLL сообщений для отображения сообщений удаленного компьютера.
Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
- дополнительные сведения об этом содержатся в справке.
В записи события содержится следующая информация: .

г.sfsync04
Не найдено описание для события с кодом ( 1 ) в источнике ( sfsync04 ).
Возможно, на локальном компьютере нет нужных данных в реестре
или файлов DLL сообщений для отображения сообщений удаленного компьютера.
Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
- дополнительные сведения об этом содержатся в справке.
В записи события содержится следующая информация: .

[marvak]

Вот собственно лог HIJACK-а

[Bratez]

Обновите базы AVZ и повторите сканирование (лог syscure).

[marvak]

а что за зверей то я нахватал. можно узнать?
что именно они делают - высылают куда-нибудь пароли или портят данные и почему трафик входящий резко вырос?

[rubin]

а что за зверей то я нахватал. можно узнать?

А Вы карантин не прислали... мы и не знаем

[marvak]

а вот и он
пардон, приходится отвечать с запозданием, т.к. зараженный комп домашний, а с него в сеть пока не выхожу. только с работы.

[V_Bond]

в логах чисто ...
карантин вы так и не прислали ...

[marvak]

а карантин - это virusinfo_cure.zip или что?

Добавлено через 7 минут

а, понял.
ок, пришлю сегодня

[V_Bond]

уберите зверей из темы .... их нужно отсылать по ссылке над темой ...

[marvak]

зверей из темы убрал, карантин закачал по ссылке.

[V_Bond]

WLCtrl32.dll - Email-Worm.Win32.Agent.e

[marvak]

понятно. ну а система то сейчас чистая?

[V_Bond]

в логах чисто ...
...

...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\wlctrl32.dll - Email-Worm.Win32.Agent.e (DrWEB: Trojan.DownLoader.47421)