Backdoor.Win32.Agent.ajcb, Net-Worm.Win32.Kido.jq и чтото еще

[C0NSUL]

Добрый день

Принесли старенький комп, еле шевелился, кое как раскачали. Комп запущен.
Поставили НОД32, поубивали какую то мелочь.
При подсоединении к сети (DSL, через домашнюю сетку) стало постоянно выскакивать окно, что ктото ломится с super.setheo.com/lib/scanner.dll и "вероятно модифицированное Фемидой приложение" (могу точно текст выслать). И о том, что во временных IE тоже scanner[1].dll модифицированный Фемидой.
Нод32 (ESS-3) особо не помог.
С помощью AVZ чтото прижали.
Стали делать по Вашей инструкции.
ВирРемувТул, в безопасном режиме, убил 17 штук всякой живности, можем приложить лог (в основном в папках win-sys32-мусор).
Но похоже, что после перезагрузки живность опять ожила.
Собственноручно, по рекомендациям с сайта Майкрософт, был восстановлен Брандмауэр. Восстановление системы отключено.
Но после перезагрузки всё заново, опять окна-уведомления от НОД32.

Просим Вашей помощи.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Ati2xcxx.exe','');
 DeleteService('Ati2excx');
 QuarantineFile('C:\WINDOWS\gsrdgt.exe','');
 DeleteService('tdfgrsh');
 QuarantineFile('C:\WINDOWS\system32\DY9JHHX1ZJ\J002.exe','');
 DeleteService('awse');
 QuarantineFile('C:\WINDOWS\xzcv.exe','');
 DeleteService('assdsf');
 QuarantineFile('C:\WINDOWS\system32\DY9JHHX1ZJ\J001.exe','');
 DeleteService('aefre');
 QuarantineFile('c:\windows\system32\adapweb.dll','');
 DeleteFile('c:\windows\system32\adapweb.dll');
 DeleteFile('C:\WINDOWS\system32\DY9JHHX1ZJ\J001.exe');
 DeleteFile('C:\WINDOWS\xzcv.exe');
 DeleteFile('C:\WINDOWS\system32\DY9JHHX1ZJ\J002.exe');
 DeleteFile('C:\WINDOWS\gsrdgt.exe');
 DeleteFile('C:\WINDOWS\Ati2xcxx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

[C0NSUL]

1.Выполнили скрипт, выполнился успешно.
Правда после объявления о перезагрузке комп долго туда шел. Пришлось подтолкнуть.
2.Стали прикреплять карантин по ссылке вверху. Сделали ошибку, извините.
Изначально прикрепили "virusinfo_cure.zip" (около 1,2Мб), который был создан вероятно раньше.
Потом, согласно Приложения3, прикрепили "virus.zip" (350кб).
Я так понял, что нужно было только второе, извините.
3.Собрали статистику. Кстати, после выполнения вашего скрипта, злополучных окон об атаке извне больше не было.
4.Отключили НОД32. Запустили GMER. При старте он выдал сообщение

Попросился на полный скан системы.
Примерно через 10-15 мин после начала сканирования комп жестко вышибло в перезагрузку.
После перезагрузки и повторного запуска GMER картина полностью повторилась.
Никаких логов GMER не оставил.
5.Прикрепляем логи, кроме GMERовских.
Неуверены, прикрепился ли нужный "Карантин"

[Гриша]

Пролечитесь так http://www.kaspersky.ru/support/wks6...?qid=208636215 и повторите логи AVZ...

[C0NSUL]

По указанной ссылке поставили 3 заплатки (на MS08-067, MS08-068, MS09-001 ),
запустили утилиту KK, ее отчет не показал результатов о лечении чего-либо.
Запустили GMER.
Результат тоже самый что показан выше.
То есть не помогло.
Сейчас логи соберу, это на этом компе займет время
(но вроде же ничего не изменилось, нужно?)

[Rene-gad]

на этом компе займет время
(но вроде же ничего не изменилось, нужно?)

Обязательно сделайте ВСЕ логи + GMER.
fyi: Заплатки не устраняют проблему, они предназаначены, чтобы воспрепятствовать ее возникновению.

[C0NSUL]

Ок.
1.Сделал логи AVZ и Hijackthis,
2.Во время запуска GMER повторилась вышеописанная ситуация - он остановился во время стартового сканирования выкинув окно о подозрении (см. мой аттач выше). Попросился на полное сканирование, запустили.
3.Наученные горьким опытом вышибаний во время этого сканирования (писал выше), я стал пытаться регулярно делать-сохранять логи в процессе сканирования (как я понял, ГМЕР это позволяет). Может пригодится?
4.Как я понимаю, комп опять вышибло во время сканирования ГМЕР-ом.
(в этот раз я отлучался от компа, как вернулся - комп ожидает входа пользователя. После входа система сообщает что восстановлена после серьезной ошибки.)
Но вышибло не через 10-15мин как в прошлые разы, а гдето часа через 1,5-2 после начала сканирования.
К данному сообщению прикрепляю НЕПОЛНЫЙ ЛОГ Гмера (см.п.3.)
5.Кстати в логе упоминается "spkp.sys". Поиск такого файла (FAR-ом) результатов не дал.
6.Также заметил, что в Проводнике не включается "Показывать скрытые файлы" (точно фразу не помню). Гдето у вас читал как это фиксить, не найду.

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service wtcqdrx
gmer.exe -del file "C:\WINDOWS\system32\bxebjnm.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wtcqdrx"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wtcqdrx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\wtcqdrx"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[C0NSUL]

1.сделали батфайл, запустили. Выскочило 2 ошибки
То есть пара строчек не сработало. Из скриншотов видно какие. Ушел в перезагрузку.
2.После перезагрузки запустили ГМЕР.
Важно1: при стартовом сканировании он не показал ошибку как раньше. Прогресс!
Важно2: опять вышибло в перезагрузку. минут через 5, гдето в начале сканирования реестра. Лог сохранить не успел, не ожидал.
Важно3: Посмотрите лог от ГМЕР выше. Там упоминается spkp.sys
Так вот в новом сканировании (с экрана запомнил) также по тексту везде упоминался sppo.sys
Лога нету.

Прошу дальнейшей Вашей помощи.

[Rene-gad]

Перед запуском gmer антивирус и файрвол отключили?

[C0NSUL]

Да, в НОД32 погасил файервол, сканирование файлов.. вобщем всё
Так каждый раз.
Может он чё оставляет?

Добавлено через 1 минуту

Стоит ESET Smart Security 3.0.684.0

[Rene-gad]

Может он чё оставляет?

Ну это Вам лучше знать надо На символ НОД в трее правым мышем, в попап-меню пункт Выключить/Выгрузить/Убить.. Есть такое?

[C0NSUL]

Обычно вот так делаю перед ГМЕРом

И опять же, какието странные прыжки с файлами spkp/sppo.sys

[Rene-gad]

Обычно вот так делаю перед ГМЕРом

Так ,как я написал, не получается/невозможно или не пробовали..

И опять же, какието странные прыжки с файлами spkp/sppo.sys

Это файлы эмуляторов, не трогайте их, плиз.

[C0NSUL]

выгрузить/убить там нет такого.
Есть примерно так.

...То есть получается, что есть подозрение, что НОД32 конфликтует с ГМЕРом, и ктото из них жестко вырубает компутер?

Добавлено через 38 минут

6.Также заметил, что в Проводнике не включается "Показывать скрытые файлы" (точно фразу не помню). Гдето у вас читал как это фиксить, не найду.

И с этим, посоветуйте что сделать пжалуста.

[AndreyKa]

И с этим, посоветуйте что сделать пжалуста

В AVZ меню Файл Восстановление системы - в строчке
8. Восстановление настроек Проводника.
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер. Включите "Показывать скрытые файлы".

[C0NSUL]

AndreyKa,
Спасибо, это помогло.

[Rene-gad]

Спасибо, это помогло.

Проблемы/жалобы остались?

[C0NSUL]

Сейчас как раз гоняю.
Хочу хоть какието следы присутствия нечисти выявить, мне комп пора возвращать. Кроме вышибания на ГМЕРе я ничего подозрительного не вижу. Это ГМЕР+НОД так шалят?
Как я понял, Вы по логам больше ничего анормального не видите (моих знаний мало).

Если так,
тогдамест засим огромнейше благодарю всех принявших участие в излечении.
Всем спасибо.

[Rene-gad]

Это ГМЕР+НОД так шалят?

Я наблюдал конфликты gmer напр. с COMODO, исключить такого рода конфликты с НОД не берусь