Trojan + backdoor (run32.dll, System.exe, HBService32, ...)

[ika]

Здравствуйте
Недавно обнаружил, что мой компьютер заражён вирусом (заметил подозрительные файлы в корне каждого диска). Я вручную удалил все подозрительные файлы и очистил реестр (пользовался руководством), после чего Windows вообще перестал загружаться и пришлось выполнить переустановку (+дефрагментация диска С).
Затем я провел 1 день в поиске драйвера для видео карты (она встроена в материнской плате PM9MS) и вирус вновь проявил себя (4 процессы с именем run32.dll).
Новый вирус сильно отличается от старого, хотя оба мешали запустить avz даже с другим именем (оказалось, что вирус перехватывал действия мыши и клавиатуры).
В данный момент я ищу драйвера и любого работоспособного антивируса. Жду от вас ответа. Спасибо заранее!

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('HBKernel32', 4);
 SetServiceStart('d7b49fa', 4);
 SetServiceStart('c39e8db', 4);
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\DOCUME~1\Irakli\LOCALS~1\Temp\s3chipid.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\HBKernel32.sys','');
 QuarantineFile('C:\WINDOWS\system32\d7b49fa.sys','');
 QuarantineFile('C:\WINDOWS\system32\c39e8db.sys','');
 QuarantineFile('dwshd.sys','');
 QuarantineFile('C:\Program Files\Mozilla Firefox\xul.dll','');
 QuarantineFile('C:\DOCUME~1\Irakli\LOCALS~1\Temp\wmsetup.dll','');
 QuarantineFile('c:\program files\counterpath\x-lite\x-lite.exe','');
 QuarantineFile('c:\windows\svchost.exe','');
 DeleteFile('C:\DOCUME~1\Irakli\LOCALS~1\Temp\wmsetup.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\dwshd.sys');
 DeleteFile('dwshd.sys');
 DeleteFile('C:\WINDOWS\system32\c39e8db.sys');
 DeleteFile('C:\WINDOWS\system32\d7b49fa.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
 DeleteFile('c:\windows\svchost.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteService('c39e8db');
 DeleteService('HBKernel32');
 DeleteService('d7b49fa');
 BC_ImportALL;
 ClearHostsFile;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил


Повторите логи.

[ika]

1. Получили ли virus.zip?
2. Нужно ли переустановить Windows?
3. Нужно ли переустановить зараженные программы?
4. Explorer не работает. что делать?
5. Нечего, что во время выполнения скриптов, в верхней панели avz было отмечено только C диск?

[ika]

Только-что очередной раз удалил из процессов run32.dll

[AndreyKa]

1. Да.
2. Это вам решать.
3. Какие программы и чем зараженные?
4. Для начала попробуйте установить Service Pack 3 на Windows.
5. Это нормально.

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

Begin
ClearQuarantine;
SetAVZGuardStatus(True);
 ExecuteRepair(8);
 ExecuteRepair(16);
 ExecuteRepair(13);
 BC_DeleteSvc('PowerManager');
 BC_DeleteSvc('c39e8db');
 BC_DeleteSvc('d7b49fa');
 BC_DeleteSvc('HBKernel32');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\Documents and Settings\Irakli\DoctorWeb\Quarantine\svchost0.exe');
 DeleteFile('C:\Documents and Settings\Irakli\DoctorWeb\Quarantine\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat 9 или удалите старый.

[ika]

Скрипт выполнен. Acrobat 6 удален.

[AndreyKa]

Какие программы и чем зараженные?

Отвечаю на свой вопрос сам.
Win32.HLLP.Jeefo.36352

Ika, вы поставьте какой-нибудь антивирус. А то это никогда не прекратиться.

[ika]

Давно ждал этого совета, а какой антивирус?
В плане у меня переустановка Windows-а и установка dr.web-а, но во первых пока на дисках D,E,F есть вирусы переустановка Windows-а бессмысленно, а во вторих нужен новый ключ для Dr.Web.

[ika]

Я ошибался и не делал полную проверку с помощью утилиты cureIt. На этот раз выполнял полную проверку и удалил порядка 500 вирусов. Посмотрите ещё раз логи, пожалуйста.

P.S. Можно ли установить антивирус на зараженном компьютере?

[AndreyKa]

Установить антивирус для вас единственная альтернатива переустановки системы.
Поставьте один из тех, которые детектируют вирус как Jeefo или Hidrag:
http://www.virustotal.com/ru/analisi...022339f6c2e122
СureIt не проверяет архивы и если есть зараженные файлы на СD или флешке то компьютер без антивируса снова будет заражен.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('c:\windows\system32\hbzhuxian.dll','');
 QuarantineFile('C:\WINDOWS\system32\upnpsrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\HBmhly.dll','');
 QuarantineFile('C:\WINDOWS\system32\E4814792.dll','');
 QuarantineFile('C:\WINDOWS\system32\66AFCB56.dll','');
 QuarantineFile('C:\WINDOWS\system32\01AFE3DC.dll','');
 QuarantineFile('C:\WINDOWS\MKMKrnl.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\HBKernel32.sys','');
 DeleteService('HBKernel32');
 DeleteService('d7b49fa');
 DeleteService('ca99d57');
 QuarantineFile('C:\WINDOWS\system32\ca99d57.sys','');
 QuarantineFile('C:\WINDOWS\system32\d7b49fa.sys','');
 DeleteService('c39e8db');
 QuarantineFile('C:\WINDOWS\system32\c39e8db.sys','');
 QuarantineFile('C:\WINDOWS\system32\HBZHUXIAN.dll','');
 QuarantineFile('C:\WINDOWS\System32\HBmhly.dll','');
 QuarantineFile('C:\WINDOWS\system32\F8E07BB2.dll','');
 QuarantineFile('C:\WINDOWS\system32\F65BDEC7.dll','');
 QuarantineFile('C:\WINDOWS\system32\F2CBFAC4.dll','');
 QuarantineFile('C:\WINDOWS\system32\E3367679.dll','');
 QuarantineFile('C:\WINDOWS\system32\E0D39066.dll','');
 QuarantineFile('C:\WINDOWS\system32\DA63E650.dll','');
 QuarantineFile('C:\WINDOWS\system32\D7C79813.dll','');
 QuarantineFile('C:\WINDOWS\system32\C8FFD223.dll','');
 QuarantineFile('C:\WINDOWS\system32\BA7EDF54.dll','');
 QuarantineFile('C:\WINDOWS\system32\B3721C07.dll','');
 QuarantineFile('C:\WINDOWS\system32\actxprxy.dll','');
 QuarantineFile('C:\WINDOWS\system32\9F684DE8.dll','');
 QuarantineFile('C:\WINDOWS\system32\9CA963CA.dll','');
 QuarantineFile('C:\WINDOWS\system32\93DEE065.dll','');
 QuarantineFile('C:\WINDOWS\system32\70B0129E.dll','');
 QuarantineFile('C:\WINDOWS\system32\5934EA2B.dll','');
 QuarantineFile('C:\WINDOWS\system32\58FF3024.dll','');
 QuarantineFile('C:\WINDOWS\system32\5243F5FA.dll','');
 QuarantineFile('C:\WINDOWS\system32\4D023DE9.dll','');
 QuarantineFile('C:\WINDOWS\system32\43ACDCC5.dll','');
 QuarantineFile('C:\WINDOWS\system32\3F21AA0C.dll','');
 QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll','');
 QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
 QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
 QuarantineFile('c:\windows\system32\system.exe','');
 DeleteFile('c:\windows\system32\system.exe');
 DeleteFile('C:\WINDOWS\system32\08223B03.dll');
 DeleteFile('C:\WINDOWS\system32\122B901E.dll');
 DeleteFile('C:\WINDOWS\system32\2EF0D734.dll');
 DeleteFile('C:\WINDOWS\system32\3F21AA0C.dll');
 DeleteFile('C:\WINDOWS\system32\43ACDCC5.dll');
 DeleteFile('C:\WINDOWS\system32\4D023DE9.dll');
 DeleteFile('C:\WINDOWS\system32\5243F5FA.dll');
 DeleteFile('C:\WINDOWS\system32\58FF3024.dll');
 DeleteFile('C:\WINDOWS\system32\5934EA2B.dll');
 DeleteFile('C:\WINDOWS\system32\66AFCB56.dll');
 DeleteFile('C:\WINDOWS\system32\70B0129E.dll');
 DeleteFile('C:\WINDOWS\system32\93DEE065.dll');
 DeleteFile('C:\WINDOWS\system32\9CA963CA.dll');
 DeleteFile('C:\WINDOWS\system32\9F684DE8.dll');
 DeleteFile('C:\WINDOWS\system32\B3721C07.dll');
 DeleteFile('C:\WINDOWS\system32\BA7EDF54.dll');
 DeleteFile('C:\WINDOWS\system32\C8FFD223.dll');
 DeleteFile('C:\WINDOWS\system32\D7C79813.dll');
 DeleteFile('C:\WINDOWS\system32\DA63E650.dll');
 DeleteFile('C:\WINDOWS\system32\E0D39066.dll');
 DeleteFile('C:\WINDOWS\system32\E3367679.dll');
 DeleteFile('C:\WINDOWS\system32\F2CBFAC4.dll');
 DeleteFile('C:\WINDOWS\system32\F65BDEC7.dll');
 DeleteFile('C:\WINDOWS\system32\F8E07BB2.dll');
 DeleteFile('C:\WINDOWS\System32\HBmhly.dll');
 DeleteFile('C:\WINDOWS\system32\HBZHUXIAN.dll');
 DeleteFile('C:\WINDOWS\system32\c39e8db.sys');
 DeleteFile('C:\WINDOWS\system32\d7b49fa.sys');
 DeleteFile('C:\WINDOWS\system32\ca99d57.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
 DeleteFile('C:\WINDOWS\MKMKrnl.dll');
 DeleteFile('C:\WINDOWS\system32\01AFE3DC.dll');
 DeleteFile('C:\WINDOWS\system32\E4814792.dll');
 DeleteFile('C:\WINDOWS\system32\HBmhly.dll');
 DeleteFile('c:\windows\system32\hbzhuxian.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[ika]

Вот лог.

[AndreyKa]

На данный момент чисто.

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 ClearQuarantine;
 SysCleanAddFile('hbzhuxian.dll');
ExecuteSysClean;
end.

[ika]

На данный момент чисто.
[/code]

Скрипт выполнен, жалоб нет. Ещё раз огромное вам спасибо!