Троян FakeAlert и постоянные перезагрузки

[Monax]

Прошу всех, кто может чем-нибудь помочь мне с такой проблемой.

Сначала вылазит окно, мол антивирус нашел вирусы , потом сообщение по-английски в правом нижнем углу экрана, что ваш комп инфицирован spyware, и теперь надо скачать какую то хрень, она сразу же начинает качаться(без согласия пользователя), потом эта antispyware 2010 находит аж 35 вирусов в системе и просит купить лицензию этой проги. Так было не очень давно. С помощью CureIT! я удалил троян fakeAlert, и какой-то Trojan.NtRootKit.3206,и еще какой-то вирус, сидящий в ntfs.sys.
Теперь,когда я включаю компьютер, все идет как надо: запускается винда, все запустилось без ошибок. После этого, когда я подключаю интернет, вылазит сообщение : "E:\WIND2009\system32\dllcache\figaro.sys - инфицирован Trojan.NtRootKit.3206", если нажать лечить/запретить/перемесить/удалить/переименовать, то компьютер перезагрузится. Еще в правом нижнем углу экрана появился красный кружок с белым крестиком внутри при наведении на него мышкой пишет следующее:

Your computer is infected!
Windows has detected spyware infection!
It is recomended to use special antispyware tools to pervent data loss/ Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!
До подключения компьютера к интернету, все идет нормально.
Антивирус DRweb, система windows XP.В диспетчере задач сидит процесс braviax.exe, также появилось много svchost.exe и процесс msword98.exe(4 штуки). Я убрал эти процессы из автозапуска, но braviax.exe все равно запускается. Кстати, теперь, когда запускаешь cureit или AVPtool, пишет, что вирусные базы повреждены или путь к ним неправильный(как в обычном, так и в безопасном режиме).

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

O4 - HKLM\..\Run: [Regedit32] E:\WIND2009\system32\regedit.exe
O4 - HKLM\..\Run: [braviax] E:\WIND2009\system32\braviax.exe
O20 - AppInit_DLLs: cru629.dat

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('e:\wind2009\temp\bn15.tmp');
 QuarantineFile('E:\WIND2009\system32\braviax.exe','');
 QuarantineFile('E:\WIND2009\system32\Drivers\Ntfs.sys','');
 QuarantineFile('E:\WIND2009\TEMP\BN15.tmp','');
 QuarantineFile('E:\WIND2009\system32\cru629.dat','');
 DeleteFile('E:\WIND2009\system32\cru629.dat');
 DeleteFile('E:\WIND2009\TEMP\BN15.tmp');
 DeleteFile('E:\WIND2009\system32\braviax.exe');
DeleteFileMask('E:\WIND2009\TEMP','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:


- Файл E:\WIND2009\system32\Drivers\Ntfs.sys замените на чистый: http://virusinfo.info/showthread.php?t=51654
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[Monax]

1)Темп-папки очистил, кэш проводников и корзину тоже.
2)логи прикрепил
3)Не знаю где взять дистрибутив. Как обычно все пошло не так, как вы описали. Во время выполнения скрипта прога висла 2 раза, но потом в папке Quarantine все же появились файлы, но после выполнения пунктов 1-3 раздела правил, они исчезли...
3)Недавно проверил систему cureit. Прога нашла троян Proxy и 2 трояна FakeAlert, удалил.

Мне выполнить этот скрипт еще раз?

[Bratez]

Мне выполнить этот скрипт еще раз?

Нет.

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Regedit32] E:\WIND2009\system32\regedit.exe

Надо заменить ntfs.sys, в остальном все нормально.
Если так и не нашли, где его взять, скиньте e-mail в личку, я вам пришлю.

[Monax]

Пофиксил, но теперь все равно после подключения к интернету появляется сообщение "E:\WIND2009\system32\dllcache\figaro.sys - инфицирован Trojan.NtRootKit.3206", хоть и компьютер не перезагружается после удаления\переименования\перемещения\запрещения\леч ения. Мэйл я скинул в личку. В процессах по-прежнему сидит braviax.exe и PC_Antispyware2010.exe.

[Bratez]

Файл выслал.

После его азмены выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\WIND2009\system32\Drivers\Beep.sys','');
 DeleteFile('E:\WIND2009\system32\braviax.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Monax]

Файл заменил, скрипт выполнил, карантин прислал. Логи вот.

[Bratez]

ntfs.sys опять зловредный висит! замените снова.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('E:\Program Files\PC_Antispyware2010\AVEngn.dll');
 DeleteFile('E:\Program Files\PC_Antispyware2010\htmlayout.dll');
 DeleteFile('E:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe');
 DeleteFile('E:\WIND2009\system32\braviax.exe');
 DeleteFile('E:\WIND2009\braviax.exe');
 DeleteFile('E:\WIND2009\system32\regedit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Monax]

логи

[thyrex]

1. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WIND2009\system32\regedit.exe','');
 TerminateProcessByName('e:\wind2009\temp\bn1c.tmp');
 QuarantineFile('e:\wind2009\temp\bn1c.tmp','');
 DeleteFile('e:\wind2009\temp\bn1c.tmp');
 DeleteFile('E:\WIND2009\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2.Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. E:\WIND2009\system32\Drivers\Ntfs.sys заменить из дистрибутива по этой методике

4. Сделайте новые логи

[Monax]

Скрипт выполнил, файл заменил, карантин прислал, вот логи

[thyrex]

Уж не знаю, как Вы заменяете, но патченый файл на месте.

Укажите, пожалуйста, какой командой Вы прописываете для замену

[Monax]

Я вообще-то просто заменяю ctrl+c ctrl+v.....(у меня нет дистрибутива)

да, сначала я заменил неправильно, в dllcache, после того как Bratez отослал мне его, но теперь я поставил его в E:\WIND2009\system32\Drivers\

Добавлено через 47 минут

Ну так что мне теперь делать?......

[Rene-gad]

-Пофиксите

Код:

O4 - HKLM\..\Run: [PC Antispyware 2010] "E:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 - HKLM\..\Run: [Regedit32] E:\WIND2009\system32\regedit.exe

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('e:\program files\pc_antispyware2010\pc_antispyware2010.exe');
 DeleteFile('e:\program files\pc_antispyware2010\pc_antispyware2010.exe');
 DeleteFile('E:\Program Files\PC_Antispyware2010\htmlayout.dll');
 DeleteFile('E:\Program Files\PC_Antispyware2010\AVEngn.dll');
 DeleteFileMask('E:\Program Files\PC_Antispyware2010','*.*',true);
 DeleteDirectory('E:\Program Files\PC_Antispyware2010');
 DeleteFile('E:\WIND2009\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Файл E:\WIND2009\system32\Drivers\Ntfs.sys замените тем файлом, который Bratez прислал (надеюсь, что он у Вас где-то не на диске Е:\ находится)
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Monax]

Заменил, но...почему он должен находиться не не диске Е?
При проверке AVZ обнаруживает какую-то подмену имени у файлов
spiderui.exe
spidernt.exe

[Rene-gad]

Заменил, но...почему он должен находиться не не диске Е?

У Вас вирус, который заражает файл Ntfs.sys если он находится на диске Е:\ , ergo ...

Добавлено через 1 минуту

При проверке AVZ обнаруживает какую-то подмену имени у файлов

Это нормально: у Вас Др.Веб работает


В логах ничего подозрительного. Жалобы есть?

[Monax]

А если этот файл находится в архиве? Просто я скачал его из письма на рабочий стол, а рабочий стол на диске Е.
Как избежать подобного в будущем? Может у microsoft есть патч на винду, просто когда я избавлялся от Kido, то я пролечил комп, скачал и установил патч с их сайта и Kido у меня не появлялся.
Жалоб нет, спасибо вам!

[Rene-gad]

А если этот файл находится в архиве?

Только если архив защищен паролем

Как избежать подобного в будущем?

- Прочитайте Как не стать завсегдатаем раздела Помогите?
- Установите все важные патчи.
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
- Установите IE 8

[Monax]

"Установите все важные патчи" - например, какие?
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - это что?
"- Установите IE 8" - а если я пользуюсь оперой?

[Rene-gad]

"Установите все важные патчи" - например, какие?

www.windowsupdate.com , Быстрый поиск

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - это что?

"то то, что у Вас установлено

"- Установите IE 8" - а если я пользуюсь оперой?

Пользуйтесь чем хотите, но ИЕ - часть операционки и должен быть на уровне.