Одолел kerneldrv

[glit]

Одолели вирусы
Cureit слегка почистил, но зараза осталась.

Скрипт лечения/карантина ребутает комп на примерно 60% работы
IE не запускается вообще.

Остальные логи прилагаю.

[wise-wistful]

ContentSaver, RuPass и ConnectionServices - это Adware
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\kerneldrv.exe');
 SetServiceStart('Akx18', 4);
 StopService('Akx18');
 SetServiceStart('Xge86', 4);
 StopService('Xge86');
 SetServiceStart('Vsm42', 4);
 StopService('Vsm42');
 SetServiceStart('Ebd74', 4);
 StopService('Ebd74');
 SetServiceStart('Anf80', 4);
 StopService('Anf80');
 SetServiceStart('Ulr85', 4);
 StopService('Ulr85');
 SetServiceStart('Tsl41', 4);
 StopService('Tsl41');
 SetServiceStart('Fkn77', 4);
 StopService('Fkn77');
 SetServiceStart('Etf41', 4);
 StopService('Etf41');
 SetServiceStart('Fnt18', 4);
 StopService('Fnt18');
 SetServiceStart('Tfo28', 4);
 StopService('Tfo28');
 SetServiceStart('Hot00', 4);
 StopService('Hot00');
 SetServiceStart('Gwd52', 4);
 StopService('Gwd52');
 SetServiceStart('Jdj74', 4);
 StopService('Jdj74');
 SetServiceStart('Sun41', 4);
 StopService('Sun41');
 SetServiceStart('Suf41', 4);
 StopService('Suf41');
 SetServiceStart('Oee20', 4);
 StopService('Oee20');
 SetServiceStart('Lin30', 4);
 StopService('Lin30');
 SetServiceStart('Koy30', 4);
 StopService('Koy30');
 SetServiceStart('Rmr06', 4);
 StopService('Rmr06');
 SetServiceStart('Rcx33', 4);
 StopService('Rcx33');
 SetServiceStart('Pdn64', 4);
 StopService('Pdn64');
 SetServiceStart('Pns17', 4);
 StopService('Pns17');
 SetServiceStart('Pgw74', 4);
 StopService('Pgw74');
 QuarantineFile('C:\WINDOWS\system32\msupdtck.exe','');
 QuarantineFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe','');
 QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\21.tmp/r','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Xge86.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vsm42.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ulr85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tsl41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tfo28.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Sun41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Suf41.sys','');
 QuarantineFile('D:\NTGLM7X.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rmr06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rcx33.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pns17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pgw74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pdn64.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oee20.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lin30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Koy30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jdj74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hot00.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gwd52.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fnt18.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fkn77.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Etf41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ebd74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Anf80.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Akx18.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cdrbsdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\1033z.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
 QuarantineFile('c:\windows\system32\kerneldrv.exe','');
 DeleteFile('c:\windows\system32\kerneldrv.exe');
 DeleteFile('C:\WINDOWS\System32\Dll.dll');
 DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Akx18.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Anf80.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ebd74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Etf41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fkn77.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fnt18.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gwd52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hot00.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jdj74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Koy30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lin30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oee20.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pdn64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pgw74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pns17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rcx33.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rmr06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Suf41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sun41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tfo28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tsl41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ulr85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vsm42.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xge86.sys');
 DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\21.tmp/r');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
 DeleteFile('C:\WINDOWS\system32\wind32.exe');
 DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
BC_ImportAll;
BC_DeleteSvc('Xge86');
BC_DeleteSvc('Akx18');
BC_DeleteSvc('Vsm42');
BC_DeleteSvc('Anf80');
BC_DeleteSvc('Tsl41');
BC_DeleteSvc('Ulr85');
BC_DeleteSvc('Ebd74');
BC_DeleteSvc('Etf41');
BC_DeleteSvc('Fkn77');
BC_DeleteSvc('Tfo28');
BC_DeleteSvc('Fnt18');
BC_DeleteSvc('Gwd52');
BC_DeleteSvc('Sun41');
BC_DeleteSvc('Hot00');
BC_DeleteSvc('Suf41');
BC_DeleteSvc('Jdj74');
BC_DeleteSvc('Koy30');
BC_DeleteSvc('Lin30');
BC_DeleteSvc('Rcx33');
BC_DeleteSvc('Pns17');
BC_DeleteSvc('Oee20');
BC_DeleteSvc('Rmr06');
BC_DeleteSvc('Pgw74');
BC_DeleteSvc('Pdn64');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19971

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Повторите логи

[glit]

Логи стали выполняться все, ie запускается, карантин (ненулевые файлы приложил)

Но это кажется еще не все
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, - я не нашел и появился жуткий тормоз при запуске компутера (1-2 минуты)

[V_Bond]

чем вы зверей кормите .... что они у вас так хорошо размножаются ?
выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
 QuarantineFile('C:\WINDOWS\system32\msupdtck.exe','');
 BC_DeleteSvc('symavc32');
 QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
 QuarantineFile('C:\WINDOWS\system32\1033z.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
 DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
 DeleteFile('C:\WINDOWS\system32\msupdtck.exe');
 DeleteFile('C:\WINDOWS\system32\1033z.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[glit]

Так это не у меня а у знакомого бухгалтера

Карантин выслал, но в него нового почти ничего не попало
Логи через 5-10 минут

[glit]

Вот и логи...

[wise-wistful]

Поищите при помощи АВЗ сервис--поиск файлов на диске 3com_dmigy.exe. Пришлите его согласно приложению 2 правил.

Добавлено через 1 минуту

Как чувствует себя система?

[glit]

Файл находит, но в карантин не добавляет
пишет
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\3com_dmigy.exe)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\WINDOWS\system32\3com_dmigy.exe)

[wise-wistful]

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе безопасных файлов. Мы будем Вам очень благодарны!

Привет бухгалтеру

Как чувствует себя система?

[glit]

Система при запуске все еще тормозит и этот 3com меня волнует...

У меня, слава богу, зверки не заводятся, а вот у знакомых...

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе безопасных файлов. Мы будем Вам очень благодарны!

Привет бухгалтеру

Как чувствует себя система?

[V_Bond]

Файл успешно помещен в карантин (C:\WINDOWS\system32\3com_dmigy.exe)

отослан ?

[glit]

он то помещен, но перед этим идет ошибка, и файл 0-ой длины.

Добавлено через 9 минут

файл имеет атрибут системного, размер - 42 кб
рядом с ним 3com_dmig.dll - на тоталвирус распознается 22-мя антивирусами
например как Backdoor.Win32.Agent.ejv

Добавлено через 4 минуты

ни dr web ни nod32 - который стоит на системе его не распознают...

надо как-то вычистить...

Добавлено через 11 минут

Наконец смог добавить через safe mode (предварительно удалив 0-ой файл из карантина - глюк?)

Закачал

[wise-wistful]

Да, парочка оказалась нехорошей. 3com_dmigy.exe - Backdoor.Win32.IRCBot.byr, 3com_dmig.dll - Backdoor.Win32.Agent.ejv. Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\3com_dmigy.exe');
 DeleteFile('C:\WINDOWS\system32\3com_dmig.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи

[glit]

Скрипт прогнал, это зараза пропала... но комп после включения все еще некоторое время тормозит - загрузка 0%, но taskbar не отвечает (и explorer) около минуты

[wise-wistful]

Поищите ещё при помощи АВЗ сервис поиск файлов на диске 3ivxDSMediaMuxk.exe, activedsm.exe и 3ivxDSAudioDecoderd.exe и вышлите их согласно приложения 2 правил.

[glit]

вот они мне тоже не нравятся
первые 3ivx... пошли сами а вот activedsm.exe не захотел... сейчас через safe закину

Добавлено через 3 минуты

и размер у них подходящий....

Добавлено через 1 минуту

закачал...

Добавлено через 3 минуты

и virustotal... на них реагирует... не резко но все-таки подозрительно

[wise-wistful]

activedsm.exe - Backdoor.Win32.IRCBot.byr.
Выполните в АВЗ для его убиения.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('RpcSsEventSystem', 4);
 StopService('RpcSsEventSystem');
 DeleteFile('C:\WINDOWS\system32\activedsm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('RpcSsEventSystem');
BC_Activate;
RebootWindows(true);
end.

По сладкой парочке подождём ответа Вирлаба.

[glit]

что-то еще точно живет

Добавлено через 2 минуты

Nod32 находит WIn32/Nuwar.Gen worm при сканировании system32 во многих файлах

[wise-wistful]

3ivxDSAudioDecoderd.exe и 3ivxDSMediaMuxk.exe- Trojan.Win32.Inject.agh. Посему в АВЗ выполните:

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Wmihelpsvc', 4);
 StopService('Wmihelpsvc');
 SetServiceStart('SamSsCryptSvc', 4);
 StopService('SamSsCryptSvc');
 DeleteFile('C:\WINDOWS\system32\3ivxDSAudioDecoderd.exe');
 DeleteFile('C:\WINDOWS\system32\3ivxDSMediaMuxk.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Wmihelpsvc');
BC_DeleteSvc('SamSsCryptSvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

[glit]

Сделал
Все равно какой-то небольшой (около минуты) тормоз при старте