троянская программа Trojan-Spy.Win32.Zbot.fjz

[Игорь Владимирович]

Не знаю что делать... Полностью выполнить правила обращения за помощью мне не позволяет комп. При попытке выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" компьютер срывается в перезагрузку... Сможете ли вы помочь мне учитывая факт отсутствия первого лога? На всякий случай расскажу о начале проблеммы:
Началось с того что во время серфа в сети Dr.Web обнаружил и вроде как благополучно удалил какой-то вирус. Закончив работу я решил еще раз проверить систему и запустил сканер Dr.Web. Сканер больше ничего не нашел... но комп после обнаружения и удаления вируса стал сильно тормозить и , как мне показалось это было вызвано солидным исходящим траффиком... хотя я ничего никому не посылал. Я отрубил модем и кажется еще что-то попытался сделать ( сейчас уже не помню - это было два дня назад) но тут мне показали "синий экран смерти" там было что-то насчет Full dump memory с отсчетом... В принципе у меня такое уже бывало, поэтому я не стал дожидаться окончания отсчета и нажал reset, но не тут-то было - началась циклическая перезагрузка... Комп недозагрузившись начинал перезагружаться... не реагируя больше ни на что - ни на reset ни на кнопку выкл. питания. Пришлось выдергивать из розетки. После мне удалось вклиниться в циклическую перезагрузку и войти в защищенный режим. Оттуда я запустил лечащую утилиту AVPTool Касперского. Вот результат:
удалено: троянская программа Trojan-Spy.Win32.Zbot.fgj Файл: C:\Program Files\DrWeb\infected.!!!\1.tmp.500CEBDB
удалено: троянская программа Trojan-Spy.Win32.Zbot.fgj Файл: C:\Program Files\DrWeb\infected.!!!\14.tmp.5F1A3818
удалено: троянская программа Trojan-Downloader.Win32.Obfuscated.dur Файл: C:\WINDOWS\system32\wpv6620.cpx
удалено: троянская программа Trojan-Spy.Win32.Zbot.fgz Файл: C:\WINDOWS\system32\wpv7219.cpx
обнаружено: троянская программа Trojan-Spy.Win32.Zbot.fjz Файл: C:\WINDOWS\system32\twext.exe
удалено: троянская программа Trojan-Spy.Win32.Zbot.fjz Файл: C:\WINDOWS\Temp\1.tmp.
То есть Trojan-Spy.Win32.Zbot.fjz удален не был с комментарием что "невозможно удаление при перезагрузке". (подробный отчет могу приложить)
Далее, после перезагрукзи, Windows запустиля но с ошибками при инициализации нескольких приложений и с сообщением о том что система была восстановлена после серьёзной ошибки... что теперь и повторяется каждый раз при перезагрузке... Как я уже упомянул выше, решив попросить у вас помощи я столкнулся с сопротивлением этому со стороны "пациента" поэтому обращаюсь к вам не совсем по форме...
Что посоветуете?

[Bratez]

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\I\Application Data\Mra\Update\mrasearch.dll (file missing)
F1 - win.ini: run=C:\WESTWOOD\REDALERT\INSTICON.EXE C:\WESTWOOD\REDALERT\INSTICON.EXE C:\WESTWOOD\REDALERT\INSTICON.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [RLRHAAAU] %systemroot%\RLRHAAAU.exe
O4 - HKLM\..\Run: [LJLAHGIU] %systemroot%\LJLAHGIU.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('VUWFRYKR');
 SetServiceStart('VUWFRYKR', 4);
 QuarantineFile('c:\windows\msauc.exe','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\RLRHAAAU.exe','');
 QuarantineFile('C:\WINDOWS\LJLAHGIU.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\qqnqstsu.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\JRPXLPVZ.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VUWFRYKR.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\VUWFRYKR.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\JRPXLPVZ.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\qqnqstsu.sys');
 DeleteFile('C:\WINDOWS\LJLAHGIU.exe');
 DeleteFile('C:\WINDOWS\RLRHAAAU.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\System32\NavLogon.dll');
 DeleteFile('c:\windows\msauc.exe');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('ZTJFVZPR');
 BC_DeleteSvc('NRRVRVVJ');
 BC_DeleteSvc('JRPXLPVZ');
 BC_DeleteSvc('qqnqstsu');
 BC_DeleteSvc('VUWFRYKR');
 BC_DeleteSvc('is-JFRV7drv');
 BC_DeleteSvc('is-R8SPEdrv');
 BC_DeleteSvc('is-6Q2L6drv');
 BC_DeleteSvc('is-5SPICdrv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=32132).
Сделайте новые логи. По возможности все три.

[Игорь Владимирович]

Пофиксил то что Вы сказали предварительно скачав программу HijackThis отсюда http://www.whatthetech.com/hijackthis/ как сказано в пояснении правил: Что значит "пофиксить с помощью HiJackThis" http://virusinfo.info/showthread.php?t=4491 Кстати в основном тексте правил ссылка идет на утилиту HiJackThis размером 310 кб которая не требует установки, а в пояснении, откуда я повторно скачал прогу, ссылка на установочный файл размером 476 кб. Каким правильнее пользоваться? С установкой или без? Или без разницы? Далее: после того как пофиксил в правилах сказано перезагрузить комп, что я и сделал и только после этого выполнил предложенный Вами скрипт в AVZ. А может правильнее было не перезагружать, следуя правилам, а сразу после того как пофиксил выполнить скрипт? Короче у меня практически ничего заметно не изменилось. Так же после перезагрузки выскакивают ошибки при инициализации приложений, так же обнаруживается "ошибка в LJLAHGIU.exe приложение будет закрыто", правда тихо на счет приложения RLRHAAAU.EXE, далее сообщение о том что "система была восстановлена после серьёзной ошибки", нет значка сети в трее ( да и вообще нигде сеть не отображается), ну и снова при попытке выполнить "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" начинается перезагрузка... Может попробовать выполнить его в защищенном режиме... хотя я не уверен что он хоть там запустится? И еще вопрос: при выполнении скриптов, нужно в AVZ предварительно помечать галочками диски? ( у меня винт разбит на С и Е )
Логи прилагаю (файл отчта hijackthis.log от неустанавливаемой програмы, если нужно пришлю и второй - они вроде немного отличаются друг от друга)
А карантина нет - пусто там...

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteFile('C:\WINDOWS\System32\NavLogon.dll');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\rqqwptns.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\OVOVMWLV.sys');
 BC_DeleteFile('C:\WINDOWS\LJLAHGIU.exe');
 BC_DeleteSvc('is-JFRV7drv');
 BC_DeleteSvc('rqqwptns');
 BC_DeleteSvc('OVOVMWLV');
 BC_DeleteSvc('is-R8SPEdrv');
 BC_DeleteSvc('is-6Q2L6drv');
 BC_DeleteSvc('is-5SPICdrv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - HKLM\..\Run: [LJLAHGIU] %systemroot%\LJLAHGIU.exe

Перезагрузите компьютер и повторите логи.

[Игорь Владимирович]

А есть все же разница в каком варианте фиксить?

[Игорь Владимирович]

Спасибо! Теперь ошибок при перезагрузке нет, первый скрипт выполняется и значок сети и Dr.Web Scheduler в трей вернулись... Но не вернулись в трей и вообще не запускаются ни Catalyst Control Center ни монитор Dr.Web... Можно с этим что-нибудь сделать?

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новый лог HijackThis.

CCC в автозагрузке не нужен принципиально. Я бы пофиксил

Код:

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

и радовался, что он не маячит перед глазами. Но если очень хочется - его можно просто переустановить. DrWeb не мудрствуя лукаво тоже переустановите и все будет ОК.

[Игорь Владимирович]

Спасибо! Сейчас все вроде в норме... ССС тоже кстати появился в трее..., но я его пофиксил - в автозагрузке он действительно не нужен... Просто я периодически с его помощью настраиваю изображение на телевизоре в другой комнате
А Dr.Web я действительно переустановлю...
Лог HijackThis прилагаю. Если все нормально, то наверно пора занятся ограничением доступа к системе из сети, а то привык работать под админом на телефонном соединении... там это насколько понимаю не так критично было как сейчас на высокоскоростном - IP то менялся постоянно...

[Гриша]

Чисто...

[Игорь Владимирович]

Пока да... надолго ли только )))