Вирус в startdrv.exe и др.проблемы

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('jhnzihi.exe','');
 QuarantineFile(' C:\WINDOWS\system32\aer.exe','');
 QuarantineFile(' C:\WINDOWS\system32\bdl.exe','');
 QuarantineFile(' C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXE34HMB\84785_winhtb[1].exe','');
 QuarantineFile(' C:\WINDOWS\system32\etw.exe','');
 QuarantineFile(' C:\WINDOWS\system32\iko.exe','');
 QuarantineFile(' C:\WINDOWS\system32\isq.exe','');
 QuarantineFile(' C:\WINDOWS\system32\qka.exe','');
 QuarantineFile(' C:\WINDOWS\system32\SubInACL.exe','');
 QuarantineFile(' C:\WINDOWS\system32\tiq.exe','');
 QuarantineFile(' C:\WINDOWS\system32\umy.exe','');
 QuarantineFile(' C:\WINDOWS\system32\vrs.exe','');
 QuarantineFile(' C:\WINDOWS\system32\xfc.exe','');
 BC_DeleteSvc('smtpdrv');
 BC_DeleteSvc('runtime2');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('jhnzihi.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ....

[1205]

Карантин закачал.
Вот логи. Опять стали появляться файлы в корне диска. Если их вовремя (через минуту после включения компа) не удалить, то после включения инета комп перезагружается (отсчитывая минуту).

[Rene-gad]

Вы Куреитом систему сканили?

[kps]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('bmvsjqd.exe','');
 QuarantineFile('C:\WINDOWS\system32\rdriv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\atgd5pso.SYS','');
 QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
 QuarantineFile('C:\WINDOWS\CARTMA~1.dll','');
 QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
 QuarantineFile('c:\windows\system32\pnkbstra.exe','');
 QuarantineFile('c:\windows\system32\pnkbstrb.exe','');
 QuarantineFile('c:\windows\cartma~1.scr','');
 QuarantineFile('c:\windows\cartma~1.exe','');
 DeleteFile('C:\WINDOWS\system32\rdriv.sys');
 DeleteFile('%system32%\bmvsjqd.exe');
 DeleteFile('C:\WINDOWS\system32\aer.exe');
DeleteFile('C:\WINDOWS\system32\bdl.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXE34HMB\84785_winhtb[1].exe');
DeleteFile('C:\WINDOWS\system32\etw.exe');
DeleteFile('C:\WINDOWS\system32\iko.exe');
DeleteFile('C:\WINDOWS\system32\isq.exe');
DeleteFile('C:\WINDOWS\system32\qka.exe');
DeleteFile('C:\WINDOWS\system32\SubInACL.exe');
DeleteFile('C:\WINDOWS\system32\tiq.exe');
DeleteFile('C:\WINDOWS\system32\umy.exe');
DeleteFile('C:\WINDOWS\system32\vrs.exe');
DeleteFile('C:\WINDOWS\system32\xfc.exe');
BC_ImportALL;
SysCleanAddFile('bmvsjqd.exe');
ExecuteSysClean;
BC_DeleteSvc('rdriv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Очистите временные папки и кеш браузера.
Сделайте новые логи.

[1205]

А в логе syscheck опять висит в процессах ashdsp.exe. Его не надо удалить? (вроде же удаляли)

[V_Bond]

можно и добавить в скрипт ...

[kps]

См. вопрос Rene-gad выше. Если еще не делали полной проверки CureIt!'ом, то надо сделать.

[1205]

Карантин закачан. Файлы, указанные в скрипте, удалились (в IceSword не видны). Но при подключении к инету в корне диска опять создаются 3 трояна и файл нулевого размера. Если их сразу не удалить, то система перезагружается (60 сек. отсчет). Если удалить, то продолжает работать. Проблемы исправили.

Идет проверка CureIT. Быстрая прошла, сейчас полная идет. ashdsp.exe она опять нашла и написала, что удалила. Вот собственно отчет о быстрой проверке.

[AndreyKa]

при подключении к инету в корне диска опять создаются 3 трояна и файл нулевого размера. Если их сразу не удалить, то система перезагружается (60 сек. отсчет).

Ничего удевительного, у вас Windows XP Service Pack 1.

[1205]

Не у меня, а у моего друга.
Есть новости.
Проверяли CureIt, что-то нашла и удалила, но полностью проверку не завершили, перезагрузка...
Вообщем сегодня вылечил я вроде эту фигню. Дело было в файле ashDsp.exe (из папки system 32). Его удаляли раньше вашими скриптами, его удалял CureIt, но бессмысленно, файл тут же возрождался. В IceSworde удаляешь, появляется тут же вновь. Именно он создавал в корне диска файл (1 шт. уже), из-за которого была перезагрузка.
Я пофиксил в хайджеке все строки, где был ashDsp.exe (автозапуск и т.д.), потом в Sword удалил все exe и bat файлы в system32, состоящие из трех букв (разные), у которых дата создания в последние 1-2 недели. По Вирустоталу это зловреды, многие из них определятся так же, как ashDsp.
Я выслал вам копии некоторых файлов, которые удалил свордом.
Создание ashDsp.exe и файла в корне прекратилось. Комп больше не перезагружается и живет нормальной жизнью.
Выкладываю лог syscheck после лечения (второй сделать не успел, надо было идти), посмотрите пожалуйста, может я еще что-то не увидел.
По поводу системы-порекомендовал другу после окончания лечения поставить хотя бы сервис пак 2 и заменить AVG хотя бы на Авиру.
Всем огромное спасибо за помощь и советы по удаление runtime и др.!!!

[V_Bond]

ничего подозрительного ...

[1205]

Тогда вопрос касательно обновлений... На том компе WinXP SP1, никаких обновлений не ставилось.
Как лучше обновить систему? Скачать с сайта Майкрософт SP2 и поставить? Или можно сразу SP3?
Надо ли для сервис-паков ставить другие обновления?
И винда пиратская, могут ли быть проблемы с активацией?

[Rene-gad]

На том компе WinXP SP1, никаких обновлений не ставилось. Как лучше обновить систему? Скачать с сайта Майкрософт SP2 и поставить?

можно сразу SP3.

Надо ли для сервис-паков ставить другие обновления?

все важные, которые вышли после Сервис Пака.

И винда пиратская, могут ли быть проблемы с активацией?

Могут. Но без SP3 проблем будет еще больше.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 124
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\ashdsp - Trojan-Spy.Win32.Delf.dhz (DrWEB: Trojan.KillFiles.80
  2. \\avz00003.dta - Backdoor.Win32.Rbot.slo (DrWEB: Trojan.Packed.650)
  3. \\avz00004.dta - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  4. \\bcqr00004.dta - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  5. \\bcqr00006.dta - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  6. \\bcqr00008.dta - Backdoor.Win32.VanBot.jm (DrWEB: Trojan.Packed.650)
  7. \\bcqr00010.dta - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  8. \\bcqr00012.dta - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  9. \\bcqr00014.dta - Trojan.Win32.Inject.dsr (DrWEB: Win32.HLLW.Autoruner.2393)
  10. \\bcqr00014.dta - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  11. \\bcqr00015.dta - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  12. \\bcqr00016.dta - Virus.Win32.Virut.ao (DrWEB: Win32.Virut.24)
  13. \\bcqr00018.dta - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  14. \\bcqr00020.dta - Virus.Win32.Virut.ao (DrWEB: Win32.Virut.24)
  15. \\bcqr00022.dta - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  16. \\bcqr00024.dta - Trojan.Win32.Inject.dsr (DrWEB: Win32.HLLW.Autoruner.2393)
  17. \\bcqr00026.dta - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  18. c:\\windows\\system32\\aer.exe - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  19. c:\\windows\\system32\\bdl.exe - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  20. c:\\windows\\system32\\config\\systemprofile\\loca l settings\\temporary internet files\\content.ie5\\wxe34hmb\\84785_winhtb[1].exe - Backdoor.Win32.VanBot.jm (DrWEB: Trojan.Packed.650)
  21. c:\\windows\\system32\\etw.exe - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  22. c:\\windows\\system32\\gdug.exe - Backdoor.Win32.Rbot.sln (DrWEB: Trojan.Packed.650)
  23. c:\\windows\\system32\\iko.exe - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  24. c:\\windows\\system32\\isq.exe - Trojan.Win32.Inject.dsr (DrWEB: Win32.HLLW.Autoruner.2393)
  25. c:\\windows\\system32\\qka.exe - Virus.Win32.Virut.ao (DrWEB: Win32.Virut.24)
  26. c:\\windows\\system32\\subinacl.exe - Trojan-Downloader.Win32.Turk.a (DrWEB: Trojan.Inject.3704)
  27. c:\\windows\\system32\\tiq.exe - Virus.Win32.Virut.ao (DrWEB: Win32.Virut.24)
  28. c:\\windows\\system32\\umy.exe - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  29. c:\\windows\\system32\\vrs.exe - Trojan.Win32.Inject.dsr (DrWEB: Win32.HLLW.Autoruner.2393)
  30. c:\\windows\\system32\\xfc.exe - Backdoor.Win32.DsBot.ri (DrWEB: BackDoor.Bifrost.842)
  31. c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Small.fpa (DrWEB: Trojan.DownLoader.3255
  32. \\i - Trojan-Downloader.BAT.Ftp.ab (DrWEB: Trojan.DownLoad.341
  33. \\kir.exe - Trojan-Spy.Win32.Delf.dhz (DrWEB: Trojan.KillFiles.80
  34. \\ktt - Trojan-Spy.Win32.Delf.dhz (DrWEB: Trojan.KillFiles.80
  35. \\lpk - Trojan-Spy.Win32.Delf.dhz (DrWEB: Trojan.KillFiles.80
  36. \\нфкфи - Trojan.Win32.Inject.etn (DrWEB: Trojan.Inject.3689)
  37. \\1.bat - Trojan-Downloader.BAT.Ftp.eo (DrWEB: BAT.DownLoader.1)