Неустранимые процессы в диспетчере задач win7service.exe wmau.exe и т.п

[Nobrain]

Доброго времени суток, постараюсь максимально кратко, но развернуто описать проблему. Слишком коротко не получится, поэтому заранее прошу прощения за многобуквие, итак. До недавнего времени сидел без интернета, все было отлично на вирусы жалоб небыло, однако антивирус стоял (Avast home), недавно стал счастливым обладателем выделенки, после установки и проверки связи быквально через 10 минут экраннная заставка сменилась на синий фон испещеренный бинарным кодом, на фоне этого на английском языке появилась надпись о том что мой компьютер заражен. но паниковать не стоит. всего за 59.95$ меня вылечит Total security 2009, пошел искать помощи на google.ru, выяснил что это дрянь, прописалась в C:\Documents and Settings\usr\Application Data порыскав там обнаружил папку именем примерно 123456, удалил, перезагрузился, и снова та же картина, снова папка в апликейшн дате но уже с другими цифрами. Поиск по реестру одноименных с именем папки файлов выдал некий результат, пораженные ключи были немедленно удалены ручным способом, тотал секьюрити вроде как беспокоить перестал, однако на его место сразу же выскочили процесы wmau.exe находящийся в C:\Recycle\, msdrive32.exe в C:\WINDOWS\ dll32b.exe в C:\ а так же несколько файликов формата 01.exe 02.exe и так до 99.exe. Сканирование Авастом показало что в папке C:\Documents and Settings\usr\Local Settings\Temporary Internet Files\Content.IE5\ имеется 4 папки с непроизносимым буквенно цифровым сочетанием содержащие в себе зараженные трояном файлы типа expall[1].exe и одноименные dll ки. Аваст добросовестно их удалял, но после перезагрузки они появлялись вновь, переустановка операционки, с форматированием. несколько изменила ситуацию, на смену неизменно висевшему в диспетчере задач процессу msdrive32.exe пришел mcdrive32.exe который в процессе нахождения в диспетчере задач постепенно увеличивается в размерах, а так же сильно замедляет работу компьютера, завершение процесса востанавливает работоспособность, но все навсего на 5-10 минут. Так же стал вновь появляться процесс win7service.exe запуск которого сопровождается открытием мозилы на странице http://www.google.com/cse?cx=partner...oney&sa=Buscar. Гугл посоветовал лечить эту заразу пи помощи антивируса PREVX, однако он, даже лицензионный удаляет лишь описанные мной файлы, но не искореняя саму проблему, как итог работа компьютера складывается о принципу 1 минута работы - 5-7 минт борьбы с заразой. За время написания этого сообщения процесс mcdrive 32.exe был убит мной 3 раза, win7service.exe 1 раз, была замечена активность сканера почты аваст, сканировалось какое то письмо отправляемое svchost.exe на mail-fx0-f25.google.com. Прочитав Ваши правила последовл советам, Сканирование CureIt показало отсутствие заразы, AVZ так же никаких угроз не увидел, однако проблема на лицо, мои 2 антивируса (Avast и PREVX) могут лишь замедлить распространение заразы. Молю о помощи.

[thyrex]

Пофиксить в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор.NEMO-79D92C3DA3\xxcpiju.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\mcdrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mcdrive32.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.NEMO-79D92C3DA3\xxcpiju.exe','');
DeleteFile('C:\Documents and Settings\Администратор.NEMO-79D92C3DA3\xxcpiju.exe');
QuarantineFile('C:\WINDOWS\mcdrive32.exe','');
DeleteFile('C:\WINDOWS\mcdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
QuarantineFile('C:\RECYCLER\S-1-5-21-8682958671-5308786511-279179501-4093\csvcs.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8682958671-5308786511-279179501-4093\csvcs.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0843133623-7536837831-434746880-1403\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0843133623-7536837831-434746880-1403\mwau.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4336848347-9688037627-987829144-4975\csvcs.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4336848347-9688037627-987829144-4975\csvcs.exe');
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
 QuarantineFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5031244736-9219604755-465069928-1783\mwau.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4197978060-8335108532-151681042-0175\csvcs.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ukxqazgb.sys','');
 DeleteService('ukxqazgb');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ecvodrww.sys','');
 DeleteService('ecvodrww');
 DeleteFile('C:\WINDOWS\System32\Drivers\ecvodrww.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ukxqazgb.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-4197978060-8335108532-151681042-0175\csvcs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-5031244736-9219604755-465069928-1783\mwau.exe');
 DeleteFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Documents and Settings\usr\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Nobrain]

Забыл добавить, что КьюрИт и АВЗ показали отсутствие результатов после чистки PREVX-ом, который требует последующей перезагрузки, вот на этой перезагрузке и была проверка CureIt-ом которая не показала наличия заразы. Извиняюсь что сразу не написал про это=(

[Nobrain]

mcdrive32.exe и компания продолжают бесчинствовать.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2903083839-3732962156-126557930-4585\csvcs.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\mdvnpxwk.sys','');
 DeleteService('mdvnpxwk');
 TerminateProcessByName('c:\windows\mcdrive32.exe');
 QuarantineFile('c:\windows\mcdrive32.exe','');
 DeleteFile('c:\windows\mcdrive32.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\mdvnpxwk.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-2903083839-3732962156-126557930-4585\csvcs.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Nobrain]

Скажите, а ничего что я выкидываю вредные процессы из диспетчера, а то с ними вообще ничего не работает. Файл virusinfo_syscure выложить не дает почему то, говорит уже выложен такой.

[Белый Сокол]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\tigtxycr.sys','');
 DeleteService('tigtxycr');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ovexpdhp.sys','');
 DeleteService('ovexpdhp');
 QuarantineFile('C:\WINDOWS\System32\drivers\pxsec.sys','');
 DeleteService('pxsec');
 QuarantineFile('C:\WINDOWS\System32\drivers\pxscan.sys','');
 DeleteService('pxscan');
 DeleteFile('C:\WINDOWS\System32\drivers\pxscan.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\pxsec.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ovexpdhp.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\tigtxycr.sys');
 BC_ImportAll;
 BC_DeleteSvc('pxscan');
 BC_DeleteSvc('ovexpdhp');
 BC_DeleteSvc('tigtxycr');
 BC_DeleteSvc('pxsec');
 ExecuteSysclean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Скачайте CureIt! и проведите проверку ПК в безопасном режиме.

[Nobrain]

CureIt у меня был, я его как положено по инструкции скачал и в сейв моде прогнал, только он у меня ничего не нашел, а в этот раз 5 файликов, 2 из папки c:\windows\driver\ 2 из c:\resycle\ и 1 в корне диска С:\

П.С. Логи АВЗ не прикрепляются. А проблема остается=(

Карантин пришел?

[pig]

П.С. Логи АВЗ не прикрепляются.

Форум сообщает причину?

[Nobrain]

да, форум говорит что такие файлы уже прицеплены, логи точно обновленные.

[Rene-gad]

да, форум говорит что такие файлы уже прицеплены, логи точно обновленные.

Значит нет: контроль md5 - это как контроль отпечатков пальцев или ДНК. Удалите ВСЕ логи из папки ..avz\log, повторите пункты 1 и 2 правил.

[Nobrain]

за ночь на компьютере появилось более 100 вредных програмулинок сидящих в C:\windows\temp и имеющих имена типа 123.exe 257.exe итп. сканирование CureIt их не выявило, удалил при помощи PrevX-а. По Вашей рекомендации сделал новые логи, выкладываю. Последний запрошеный карантин скинул еще вчера.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\windows\mcdrive32.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1296888368-4471393935-897100426-4449\csvcs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1296888368-4471393935-897100426-4449\csvcs.exe,C:\RECYCLER\S-1-5-21-2730577979-0214965749-170754912-5447\csvcs.exe,explorer.exe,explorer.exe','');
 QuarantineFile('c:\windows\mcdrive32.exe','');
 DeleteFile('c:\windows\mcdrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1296888368-4471393935-897100426-4449\csvcs.exe,C:\RECYCLER\S-1-5-21-2730577979-0214965749-170754912-5447\csvcs.exe,explorer.exe,explorer.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1296888368-4471393935-897100426-4449\csvcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); 
 DeleteFileMask('C:\RECYCLER\S-1-5-21-1296888368-4471393935-897100426-4449','*.*',true);
 DeleteFileMask('C:\RECYCLER\S-1-5-21-2730577979-0214965749-170754912-5447','*.*',true);
 DeleteFileMask('%temp%','*.*',true);
 DeleteFileMask('%windir%\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Сделайте лог MBAM - полное сканирование.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Nobrain]

')' expected в позиции 13:77

[Rene-gad]

')' expected в позиции 13:77

исправлено. Выполняйте скрипт.

[Nobrain]

В диспетчере задач обнаружился новый процесс ранее лично мной не замеченный rundll32.exe

[Rene-gad]

- Выполните команды в GMER.

Код:

md c:\Quarantine
copy C:\WINDOWS\system32\msvcrt2.dll c:\Quarantine\msvcrt2.vir
copy C:\WINDOWS\system32\secupdat.dat c:\Quarantine\secupdat.vir
copy C:\WINDOWS\hosts c:\Quarantine\hosts.vir
copy C:\WINDOWS\mcdrive32.exe c:\Quarantine\mcdrive32.vir
copy C:\WINDOWS\System32\Drivers\swkxjtbl.sys c:\Quarantine\swkxjtbl.vir
gmer.exe -del service swkxjtbl
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman"
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\Microsoft Driver Setup"
gmer.exe -del reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Microsoft Driver Setup"
gmer.exe -del file "C:\WINDOWS\System32\Drivers\swkxjtbl.sys"
gmer.exe -del file "C:\WINDOWS\system32\msvcrt2.dll"
gmer.exe -del file "C:\WINDOWS\system32\secupdat.dat"
gmer.exe -del file "C:\WINDOWS\hosts"
gmer.exe -del file "C:\WINDOWS\mcdrive32.exe"
gmer.exe -reboot

После перезагрузки:
- Все файлы из папки c:\Quarantine пришлите по правилам.
- Сделайте новый лог МБАМ.

В диспетчере задач обнаружился новый процесс ранее лично мной не замеченный rundll32.exe

В принципе это системный процесс.

[Nobrain]

Процесс mcdrive32.exe не дает возможности воспользоваться МБАМ, сразу же закрывает его, если попробывать выкинуть мсдрайв32 из процессов и запустить проверку МБАМ, то мсдрайв снова запускается через несколько минут и снова закрывает МБАМ. Кстати файлики которые Вы посоветовали удалить были удалены еще после прошлой проверки, если я ничего не путаю конечно.

[Белый Сокол]

Процесс mcdrive32.exe не дает возможности воспользоваться МБАМ, сразу же закрывает его, если попробывать выкинуть мсдрайв32 из процессов и запустить проверку МБАМ, то мсдрайв снова запускается через несколько минут и снова закрывает МБАМ.

А в процессах не висит ничего вида 02.exe? Если да, то их прибить тоже.

P.S. Очень странно, что CureIt! не справился. Он должен был выцепить по крайней мере файл в корне диска + (возможно) зловреды в system32 + экзешники во временных папках (Documents&Settings\NetworkService\LocalSettings + темпы текущего пользователя).

[Nobrain]

Выполнение скрипта ГМЕР прошло как то странно, в окошке логов появилась следующая информация

®¤¯ ¯ª ¨«¨ ä ©« c:\Quarantine 㦥 áãé¥áâ¢ã&# 165;â.
¥ 㤠¥âáï * ©â¨ 㪠§ **ë© ä ©«.
¥ 㤠¥âáï * ©â¨ 㪠§ **ë© ä ©«.
¥ 㤠¥âáï * ©â¨ 㪠§ **ë© ä ©«.
C:\WINDOWS\mcdrive32.exe
¥ 㤠¥âáï * ©â¨ 㪠§ **ë© ä ©«.
‘ª®¯¨à®¢ *® ä ©«®¢: 0.
¥ 㤠¥âáï * ©â¨ 㪠§ **ë© ä ©«.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"gmer.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.

перезагрузки небыло, а папка карантин на диске С:\ совершенно пуста=(