Проблема: много svchost, постоянно подгружается IEXPLORE.EXE, загружаются странные temp-овые процессы. а до этого еще и services.exe грузился. [Trojan.Win32.Agent2.pe ]

[April]

Добрый день! Просьба помочь!

Началось с того, что Касперский начал говорить о повышенной сетевой активности файла svchost, и наличии вируса в services.exe.
Поскольку базы Касперского давно не обновлялись, его я снесла, поставила Dr WEb с последними обновлениями. Он проверил машину, говорил о вирусных temp процессах, лечил файлы, удалял, но в диспечере задач все равно очень много svchost, постоянно включается IEXPLORE.EXE, и по характерным щелчкам понятно, что он куда-то ходит. Проверяла машину в safe mode avptool, он удалял scvhost, temp файлы, но при перезагрузке все оставалось как и раньше. Теперь прошу посмотреть и сказать, что можно сделать, кроме как переустановить систему.
Спасибо.
Логи ниже

[AndreyKa]

Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\BN2.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\sgx4.tmp','');
 BC_DeleteSvc('FCI');
 BC_DeleteSvc('ati3hkxx');
 QuarantineFile('C:\Program Files\Proling\Rt32_pm.dll','');
 QuarantineFile('C:\Temp\ie4F9.tmp','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('ptrltuss32.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati3hkxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\ptrltuss32.dll','');
 DeleteFile('ptrltuss32.dll');
 DeleteFile('C:\Temp\ie4F9.tmp');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati3hkxx.sys');
 DeleteFile('C:\WINDOWS\system32\ptrltuss32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat Reader 9.0 или удалите старый.

[April]

Спасибо! Только теперь появились новые темповые файлы. Да Вы, наверное, и сами увидите. Логи ниже. Надеюсь, что я прислала правильный карантин )

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ClearQuarantine;
 BC_DeleteSvc('FCI');
 BC_DeleteSvc('ati3hkxx');
 DeleteService('FCI');
 DeleteService('ati3hkxx');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati3hkxx.sys','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('c:\windows\temp\ksg5.tmp','');
 QuarantineFile('c:\windows\temp\bn3.tmp','');
 DeleteFile('c:\windows\temp\bn3.tmp');
 DeleteFile('c:\windows\temp\ksg5.tmp');
 SysCleanAddFile('ptrltuss.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati3hkxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Устанавливайте обновления на Windows.

[April]

Темповые процессы на удивление живучи. Высылаю логи.

[AndreyKa]

Установите AVZPM через меню в AVZ.

Скачайте IceSword. Распакуйте, запустите. Слева внизу нажмите File, затем найдите:

C:\WINDOWS\System32\Drivers\ati3hkxx.sys

Правой кнопкой мыши:
1) Copy to ... в какую-нибудь папку.
2) force delete.
и сделайте им Force Delete.

Перезагрузите компьютер.

Пришлите скопированный ati3hkxx.sys в zip-архиве с паролем virus по ссылке Прислать запрошенный карантин вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Кстати, уже давно вышел DrWeb 5.0.

[April]

Вероятно, я совсем валенок .. Сделала архив из файла, но без пароля, начала его обратно распаковывать, что-то еще делала и в итоге сам sys файл потерялся, а в заархивированом архиве файла не оказалось (((. Я так и не поняла, что произошло.. Я высылаю логи скрипта. Если что-то еще он покажет. Очень надеюсь,что то, что произошло не очень страшно.

[AndreyKa]

Пофиксте в HijackThis строку:

20 - Winlogon Notify: ptrltuss - C:\WINDOWS\SYSTEM32\ptrltuss.dll

Сделайте новый лог HijackThis.

У меня возникло сомнение, что антивирус DrWeb у вас нормально работает.
Попробуйте сохранить на диск тестовый файл:
http://www.eicar.org/download/eicar.com
Получили ли вы сообщении о "вирусе"?

Как, вообще, компьютер теперь работает? Уже лучше?

[April]

Отчет о проделанной работе:
1. Тестовый вирус dr web отловил.
2. Темповые процессы при загрузке машины больше не грузятся.
3. Но продолжает грузится IEXPLORE.EXE и вроде svchost иногда тянет файл подкачки. И поэтому, в целом, машина поттупливает. Почему-то иногда стала вылетать Mozilla

[April]

Уважаемый helper AndreyKa, помогите пожалуйста!

[Гриша]

Вы фиксили указанную строчку?

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ptrltuss.dll');
 BC_DeleteSvc('ati3hkxx');
 BC_DeleteFile('C:\WINDOWS\system32\ptrltuss.dll');
 SysCleanAddFile('ptrltuss.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[April]

Ту строку фиксила.

[April]

Все сделала. При перезагрузке первый раз за долгое время на загрузился iexplore.exe . Это все, я здорова? )

[Гриша]

В логе чисто, установите SP3+all updates...

[April]

Огромное вам человеческое СПАСИБО!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 30
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\temp\\ie4f9.tmp - Trojan-Downloader.Win32.Agent.bdxm
  2. c:\\windows\\system32\\ptrltuss32.dll - Backdoor.Win32.Hijack.an
  3. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Agent2.pe
  4. c:\\windows\\temp\\bn2.tmp - Backdoor.Win32.Small.hgi