reader_s.exe, msdrive32.exe, трояны

[freeze]

Имеются reader_s.exe, msdrive32.exe, возможно, ещё гадости, сами по себе запускаются непонятные .exe (703.exe - цифры разные, меняются), .tmp (В3.tmp и т.д.), нахождение и удаление в папках и реестре ни к чему не приводит - после запуска всё опять "на месте", также имеется куча svchost.exe (на данный момент запущено 13).

Зайти на сайты о лечении / удалении этого добра невозможно, сайты антивирусов блокированы, на Ваш сайт удаётся зайти только через http://216.246.91.178/~virusinf - через virusinfo.info тоже никак. Установить антивирусы с диска никак - просто ничего не происходит, в "лучшем" случае программа зависнет при инсталяции.

По инструкции в Правилах стянула и проверила AVPtool - найдено 1402 зараженных файлов - сплошные .ехе, включая даже сам avptool, после проверки часть файлов вылечена, что-то в каратине, что-то удалено, по утверждению программы вылечены / карантине / удалены все найденные поражженные файлы.

AVZ, стянутую по ссылке в Ваших Правилах, сначала поставить не удалось - требовалось rundll32.exe, пришлось искать и скачивать, после этого программа установилась. Скриптов на выбор было 6:
1 Detect and block UserMode and KernelMode hooks
2 Advanced System Analysis
3 Advanced System Analysis with malware removal mode enabled
4 Collecting not recognized and suspicious files (с этим скриптом я и сделала логи, если неправильно, напишите, пожалуйста, с каким надо)
5 Update signature database
6 Delete all AVZ drivers and registry keys
Логи весят более 11МВ каждый, называются иначе, программа вообще логи проверки без инета потом сложила туда же, куда и логи проверки с подключенным интернетом, пришлось сделать по второму разу. Как в данном случае сделать правильные логи?

С программой HiJackThis проблем не возникло. Лог прилагаю.

Заранее спасибо за помощь!

[thyrex]

Как в данном случае сделать правильные логи?

Выполнить скрипты 2 и 3

[AndreyKa]

Логи весят более 11МВ каждый, называются иначе

Если называются иначе, то это не логи

Чтобы запустить AVZ с русским интерфейсом надо в командной строке указать параметр: lang=RU

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
 DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
 QuarantineFile('E:\WINDOWS\System32\reader_s.exe','');
 DeleteFile('E:\WINDOWS\System32\reader_s.exe');
 QuarantineFile('E:\WINDOWS\system32\B.tmp.exe','');
 DeleteFile('E:\WINDOWS\system32\B.tmp.exe');
 QuarantineFile('E:\WINDOWS\system32\regedit.exe','');
 DeleteFile('E:\WINDOWS\system32\regedit.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe');
 QuarantineFile('E:\WINDOWS\msdrive32.exe','');
 DeleteFile('E:\WINDOWS\msdrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте логи AVZ и приложите к этой теме.

Прочтите: http://virusinfo.info/showpost.php?p=386579&postcount=1

[freeze]

Скрипт выполнила, программа сообщила об успешном исполнении, reader_s вроде пока не появился, msdrive32 снова висит в процессах. .tmp и .exe появляются только при подключенном интернете, их названия постоянно меняются.

Про svchost.ехе - ту тему просмотрела, в regedit не попасть, видимо, попал "под раздачу" Касперского при той проверке. Эти svchost, кстати, тоже активно множатся только при подключенном интернете.

Ссылки "Прислать запрошенный карантин" у меня нет вообще
UPD: Нашла, архив virus.zip отослан.

Логи прилагаю, включая свежий HiJack.

[Bratez]

>>>> Danger - the avz.exe file has been modified: its current CRC is not listed in Trusted Objects Database

У вас поражение файловым вирусом.
Рекомендации по лечению тут:
http://virusinfo.info/showthread.php?t=15927.

[freeze]

По указанной ссылке использовала сначала указанный там CureIt (нашел 10 "вредностей", 6 вылечил, 4 удалил).

После него применила метод Live CD Vba32 Rescue.

msdrive.exe в процессах пока не появился, количество svchost.exe - 9 штук на данный момент, по этой части уже давали совет, но, повторюсь, regedit, равно как и многое другое, exe-шное, не работает. В данном случае мне потом надо будет переустановить просто ОС?

Свежие логи, на всякий случай включая тот от vba, прилагаю.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

O4 - HKLM\..\Run: [5370] E:\WINDOWS\system32\2C.tmp.exe
O4 - HKLM\..\Run: [Regedit32] E:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [reader_s] E:\WINDOWS\System32\reader_s.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('glaide32');
 StopService('kbiwkmlewiordq');
 QuarantineFile('E:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe','');
 QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
 QuarantineFile('E:\WINDOWS\system32\drivers\glaide32.sys','');
 DeleteFile('E:\WINDOWS\system32\drivers\glaide32.sys');
 DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
 DeleteFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe');
 DeleteService('glaide32');
 DeleteService('kbiwkmlewiordq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('glaide32');
BC_DeleteSvc('kbiwkmlewiordq');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Файл E:\WINDOWS\system32\userinit.exe замените на чистый: http://virusinfo.info/showthread.php?t=51654.
- Сделайте лог GMER.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[freeze]

Все пункты в точности исполнила, userinit.exe заменён без проблем со здорового компьютера с идентичной инсталяцией (с тех же дисков).

Запрошенный карантин отослала, логи прилагаю.

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ExecuteRepair(1);
 DelBHO('{D88E1558-7C2D-407A-953A-C044F5607CEA}');
QuarantineFile('kbiwkmwsp.dll','');
QuarantineFile('\systemroot\system32\kbiwkmtuidmtta.dll','');
DeleteFile('\systemroot\system32\kbiwkmtuidmtta.dll');
QuarantineFile('\systemroot\system32\kbiwkmopjpissq.dll','');
DeleteFile('\systemroot\system32\kbiwkmopjpissq.dll');
 QuarantineFile('\systemroot\system32\drivers\kbiwkmjomqpxev.sys','');
 DeleteFile('\systemroot\system32\drivers\kbiwkmjomqpxev.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[freeze]

Скрипт выполнен, карантин отослан, лог внизу.

[Rene-gad]

- Повторите лог GMER.

Добавлено через 3 минуты

-Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
  QuarantineFile('E:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Файл E:\WINDOWS\system32\Drivers\NDIS.sys замените на чистый: http://virusinfo.info/showthread.php?t=51654.

[freeze]

Лог GMER прилагаю, скрипт выполнен.

Файл заменить не удалось - при копировании выскакивает табличка типа "нет доступа", с BartPE ничего не вышло (делаю всё чётко по указаниям на сайте - после проверки всех дисков появляется инфо, что найдено 0 подходящих источников), knoppix пробовала - или я чего-то не понимаю и не нашла, или в версии для cd (dvd использовать не могу) нужного нет (или, повторюсь, я просто что-то не так делаю). nLite - получается сделать только с инсталяционного диска, т.е. без SP 1+2.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\windows\system32\drivers\kbiwkmjomqpxev.sys','');
DeleteFile('e:\windows\system32\drivers\kbiwkmjomqpxev.sys');
QuarantineFile('e:\windows\system32\kbiwkmopjpissq.dll','');
DeleteFile('e:\windows\system32\kbiwkmopjpissq.dll');
QuarantineFile('e:\windows\system32\kbiwkmtuidmtta.dll','');
DeleteFile('e:\windows\system32\kbiwkmtuidmtta.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service kbiwkmlewiordq
gmer.exe -del file "e:\windows\system32\drivers\kbiwkmjomqpxev.sys"
gmer.exe -del file "e:\windows\system32\kbiwkmopjpissq.dll"
gmer.exe -del file "e:\windows\system32\kbiwkmwqbdfour.dat"
gmer.exe -del file "e:\windows\system32\kbiwkmtuidmtta.dll"
gmer.exe -del file "e:\windows\system32\kbiwkmbfwbxrmt.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmlewiordq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmlewiordq"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Замена файлов с помощью LiveCD подразумевает, что у Вас есть оригинальная копия файла, который Вас просят заменить
В логах есть файл E:\WINDOWS\$NtServicePackUninstall$\ndis.sys
Проверьте его на virustotal
Ссылку на результат проверки сообщите

[freeze]

Скрипт выполнен. Файл карантина отправлен.

cleanup.bat выполнен - у 4 файлов из (3-6 строчки) выскочила ошибка "файл не найден". Лог прилагаю.

Проверка указанного файла на virustotal - результат тут

[thyrex]

Лог gmer чист.
А вот проверенный файл возможно поврежден. Придется:
1. Или Вам самостоятельно добывать его для SP2;
2. Или надеяться, что кто-то из хэлперов Вам его предоставит;
3. Или установите SP3 (может потребоваться активация) + все новые заплатки

[freeze]

Файл ndis.sys у меня есть - с чистого компьютера с той же системой и теми же SP 1 + 2, просто не удаётся его заменить - выдает табличку "нет доступа".
SP3 поставить не удалось - из-за этого файла как раз, выдаёт ошибку, что "файл открыт или используется другой программой" (c:/windows/system32/drivers/ndis.sys), хотя всё выключено.

[AndreyKa]

просто не удаётся его заменить - выдает табличку "нет доступа".

Заменять не надо. Надо переименовать и на его место записать чистый.

[freeze]

Переименовать тоже не удаётся - выдаёт ту же ошибку, что нет доступа, при попытке переименовать через total commander пишет: please remove the file protection, при опции as administrator тоже ничего не получается - просит логин (и есть administrator), пароль (пароля нет, просто кликаю ОК), после этого табличка access denied. (Заранее оговорюсь, что если что - пароль не поставить, в Панели управления хоть и есть значок Учетных записей, но ничего не открывается...)

Почему-то вскоре после отправки этого сообщения перестал работать интернет - помогло аж новое инсталирования драйверов.

[AndreyKa]

Удалите файл
c:/windows/system32/drivers/ndis.sys
через Отложенное удаление в AVZ. Переключатель режима удаления поставьте на Удаление фалов.
После перезагрузки запишите здоровый ndis.sys в папку c:/windows/system32/drivers и перезагрузите компьютер.

[freeze]

Не удаляется. Делаю, как Вы написали (только я ошиблась, когда адрес прописывала в прошлом сообщении - не С, а Е, на С ничего системного нет, всё на Е, посему адрес ниже исправлен), появляется текст:
Delayed File Deleting E:/windows/system32/drivers/ndis.sys
>>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required
>>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required
Перезагружаю компьютер, файл где был, там и есть.