Перехватчики плодятся?

[sparrow]

Здравствуйте.
При каждом последующем запуске АВЗ число перехваченных функций возрастает.
Помогите почистить пожалуйста.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\orgmml.sys','');
 QuarantineFile('C:\WINDOWS\System32\LIBMYSQL.dll','');
 QuarantineFile('c:\windows\system32\cmptes.dll','');
 QuarantineFile('C:\WINDOWS\System32\capisrv.dll','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50998).
Обновите базы AVZ и сделайте новые логи.

[sparrow]

Результат загрузки
Файл сохранён как 090730_124106_virus_4a715ca256d71.zip
Размер файла 1458054
MD5 e64d7b395ac060a42bf157fc722947d2
Сделал.

Еще почему-то NOD стал выкатывать после загрузки (и потом периодически) ровно по 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('Universal Plug and Play Device Net Host');
 QuarantineFile('C:\WINDOWS\SSWG8-15.exe','');
 DeleteFile('C:\WINDOWS\System32\capisrv.dll');
 DeleteFile('C:\WINDOWS\System32\LIBMYSQL.dll');
 DeleteFile('C:\WINDOWS\SSWG8-15.exe');
 DeleteService('Universal Plug and Play Device Net Host');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Universal Plug and Play Device Net Host');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению

[sparrow]

Результат загрузки
Файл сохранён как 090730_143645_virus_4a7177bd9424b.zip
Размер файла 578
MD5 c98946adc6b10b976990a6c862d96355

Все сделал.
Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)

[Rene-gad]

В логах чисто. Жалобы есть?

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Acrobat Reader

Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)

Удалите его через диспетчер оборудования.

[sparrow]

По поводу SP3 попробую (вообще комп не мой).

NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.
Похоже их (троянов) порождает что-то на компьютере

[Rene-gad]

NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.

Лог Нода прикрепите к сообщению, троянцев из карантина - по правилам закачайте.

[sparrow]

Результат загрузки
Файл сохранён как 090730_160127_virus_4a718b9704769.zip
Размер файла 437203
MD5 7a2df281b272b6a07433bba3f8ba1fa4

В NODе не нашел выгрузки карантина во внешний файл, отправил Вам сжатую папку Infected (пароль virus)? думаю, что это он.

[Rene-gad]

Спасибо, карантин получен
Выполните ещё тут: http://virusinfo.info/showpost.php?p=435039&postcount=2
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip

[sparrow]

Сделал

[Rene-gad]

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('WinHelp32');
 StopService('WcsSrv');
 QuarantineFile('C:\WINDOWS\System32\capisrv.dll','');
 QuarantineFile('c:\windows\system32\cmptes.dll','');
 QuarantineFile('C:\Program Files\Common Files\Svc.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 DeleteFile('C:\WINDOWS\System32\capisrv.dll');
 DeleteFile('c:\windows\system32\cmptes.dll');
 DeleteFile('C:\Program Files\Common Files\Svc.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WinHelp32');
BC_DeleteSvc('WcsSrv');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[sparrow]

Результат загрузки
Файл сохранён как 090731_120255_virus_4a72a52f836ac.zip
Размер файла 876664
MD5 10c6b8c236b4956c5027ce16657b6754

Сделал

[Rene-gad]

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('ERSvc');
 StopService('9954DCC8');
 QuarantineFile('C:\WINDOWS\Fonts\31C7D188.DLL','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ERSvc.sys',''); 
 DeleteFile('C:\WINDOWS\system32\drivers\ERSvc.sys');
 QuarantineFile('C:\WINDOWS\Fonts\F8E878D0.EXE','');
 DeleteService('ERSvc');
 DeleteService('9954DCC8');
 DeleteFileMask('C:\WINDOWS\Fonts','*.EXE', false);
 DeleteFileMask('C:\WINDOWS\Fonts','*.dll', false);
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[sparrow]

Результат загрузки
Файл сохранён как 090731_142122_virus_4a72c5a2915d1.zip
Размер файла 1742
MD5 b0a363fc0e5eba90f434c32fa6acfc86

Сделал

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 62
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\common files\svc.exe - Backdoor.Win32.Agent.ajcb ( DrWEB: BackDoor.RemoteABC.9 )
  2. c:\windows\fonts\f8e878d0.exe - Trojan-Dropper.Win32.Agent.aypv ( DrWEB: Trojan.MulDrop.33051, BitDefender: Win32.Worm.Winko.I )
  3. c:\windows\system32\capisrv.dll - Backdoor.Win32.Rbot.krn ( DrWEB: Trojan.SqlShell.5, BitDefender: Worm.Hosete.A )
  4. c:\windows\system32\capisrv.dll - Exploit.Win32.SqlShell.h ( DrWEB: Trojan.SqlShell.4, BitDefender: Backdoor.Agent.AAHP )
  5. c:\windows\system32\cmptes.dll - Trojan-Downloader.Win32.Agent.ckvw ( DrWEB: Trojan.DownLoad.42029, BitDefender: Worm.Hosete.A )
  6. c:\windows\system32\libmysql.dll - Exploit.Win32.SqlShell.i ( DrWEB: Exploit.MySql.3 )
  7. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aaaf ( DrWEB: Trojan.PWS.Panda.114 )
  8. c:\windows\system32\winhelp32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoad.42056, BitDefender: Gen:Trojan.Heur.P.hC0@e4DmIshb )
  9. \virus\c22jilca.nqf - Trojan-Downloader.Win32.Agent.cjey ( DrWEB: BackDoor.ClDdos )
  10. \virus\grfft0aa.nqf - Trojan-Downloader.Win32.Apher.at ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE )
  11. \virus\hlkftkaa.nqf - Trojan-Downloader.Win32.Agent.ckyz ( BitDefender: Trojan.Rincux.AW )
  12. \virus\ryqqcraa.nqf - Trojan-Dropper.Win32.Agent.ayqf ( DrWEB: Trojan.MulDrop.32540 )
  13. \virus\tco5wrca.nqf - Trojan-Downloader.Win32.Agent.ckyf ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW )
  14. \virus\tlxhrqca.nqf - Trojan-DDoS.Win32.Agent.gd ( DrWEB: Trojan.MulDrop.29482 )
  15. \virus\yis0vpca.nqf - Backdoor.Win32.Agent.aioe ( DrWEB: DDoS.Attack.238, BitDefender: Backdoor.Hupigon.145523 )
  16. \virus\zuwfxlba.nqf - Backdoor.Win32.Small.iey ( DrWEB: BackDoor.Spy.37, BitDefender: Trojan.Rincux.AW )
  17. \virus\0i2wctca.nqf - Trojan-Downloader.Win32.Delf.uwc ( DrWEB: BackDoor.Darkshell.71 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !