Очередная жертва вируса iLite Net Accelerator

[Lqaz]

На работе поймали эту гадость. При запуске ругается на ошибки в alg.exe и wuauclt.exe. Убивается NOD32, выскакивает окно вируса. Иногда если есть несколько секунд, то можно зайти в Мой компьютер. В защищенном режиме все также.
Почитал несколько вариантов лечения отсюда.
Скачал вчера свежий LiveCD от DrWeb. Прогнал полностью диски. Он ничего совершенно не нашел. Из под него записал на второй логический диск свежий AVZ.
Удалил из под LiveCD все файлы из всех аккаунтов из папок Temp, из C:\Temp.
Удалил все System Volume.
Удалил все Temporary Internet Files.
Удалил все RECYCLER.
Запускаю в защищенном режиме, при попытке войти в папку AVZ комп идет на перезагрузку.
Иногда в защищенном режиме выскакиевает ошибка svchost.exe и появляется окно таймера выключения компьютера как при старом Blaster.
Переименовал папку AVZ в GAMES, а сам файл в куку.pif )
В папку теперь войти могу, но при запуске файла тут же выскакивает окно вируса и AVZ не запускается.

Сейчас попробую загрузиться с Windows LiveCD и запустить из под него AVPTool вчерашнюю вечернюю.

Неужели до сих пор не найдено кардинального лекарства?

[snifer67]

Hijack запускается ?

[Lqaz]

Не пробовал.
Сейчас попробую. Пока еще не запустил под WinLiveCD проверку.
Запускать его под WinLiveCD есть смысл или только из под защищенного режима?

[Lqaz]

Переименовал на всяк пожарный файл Hijack в kuku.pif Записал его на зараженную машину из под WinLiveCD (боюсь совать так просто флэшку на эту машину).
Зашел в защищенном режиме, запустил, запустил "Do a system scan and save a logfile". Просканировалось. затем спросилось что не найден файл log и предложило его создать. После ответа ДА, комп ушел на выключение.
Запустился под WinLiveCD, никакого лог файла я не обнаружил нигде.
Программу запускал с корня диска D.
Запустил Hijack из под WinLiveCD. Записал лог файл. Выкладываю сюда.
Рабочие диски C и D. Остальное от флэшки (Е) и от LiveCD (B, X).

[Lqaz]

Запустил из под WinLiveCD установку AVPTool. По умолчанию он ставилс на диск B т.е. который создал WinLiveCD. При установке было три раза окошко "Установка не выполнена", в самом начале установки, но при ОК установка продолжалась.
Не стал запускать его на диске B. Сразу же удалил и заново поставил на физический диск D в корень. Ошибки при установке были также три раза.
Сейчас запустил проверку AVPTool из под все того WinLiveCD. О результате отпишусь.

[Bratez]

Запустил Hijack из под WinLiveCD. Записал лог файл. Выкладываю сюда.

Это лог самой Live, он не несет никакой информации о зараженной системе.

[Lqaz]

Ну я так и подумал.
Ох и хитрая же эта зараза. Силы бы вирусописателя да в мирное русло....

Добавлено через 30 минут

AVPTool нашел 898 зараженных обьектов.-

Trojan-Dropper.Win32.Agent.bjrl в кэше Нода
Trojan-Downloader.Win32.Piker.adu в библиотеках C:\Windows\System32\
Trojan-Banker.Win32.Bancos.kdj в C:\Windows\system32\sdra64.exe

Сначала просканировал компьютер без лечения, потом запустил лечение и удаление на папки с инфекцией.
Сейчас он их удаляет, но на каждую библиотеку пишел-"Удалено и сделана резервная копия". Куда он кладет резерную копию? Как бы она совсем мне не нужна, да еще и завирусованная....)

[Bratez]

Trojan-Downloader.Win32.Piker.adu в библиотеках C:\Windows\System32\
Trojan-Banker.Win32.Bancos.kdj в C:\Windows\system32\sdra64.exe

Ну тогда надо полагать баннера уже не будет, можете запускать свою систему и делать логи, дочистим мусор.

[Lqaz]

В Защищенном режиме выполнил скрипты.

[Lqaz]

Hijack это D:\kuku.pif
AVZ это d:\games\kuku.pif

[Bratez]

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\gb.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\gb.dll','');
 DeleteFile('C:\WINDOWS\system32\gb.dll');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64311).
Сделайте новые логи (только п.2 и 3 раздела Диагностика, в нормальном режиме).

[Lqaz]

Запустился в Обычном режиме.
Запустил HijackThis, выполнил проверку, сохранил лог до фикса, выполнил фикс, сохранил лог.
Запустил AVZ, выполнил скрипт.
Перегрузился комп.
Выполнил из Стандартных скриптов 3, перегрузил, и 2.
"Сделайте новые логи (только п.2 и 3 раздела Диагностика, в нормальном режиме)."
Что такое раздел Диагностика-не нашел.
Логи прилагаю.
Есть небольшой карантин.
Выкладываю также и его.


Hijack это D:\kuku.pif
AVZ это d:\games\kuku.pif

[Lqaz]

Не забыли про меня? Понимаю конечно, что у вас большое количество таких несчастных...)

[snifer67]

Чисто

Установите SP3 (может потребоваться активация) + все новые заплатки

[Lqaz]

Спасибо!

Добавлено через 19 минут

А какой нибудь антивирус уже научился ловить и лечить эту гадость полностью?

[PavelA]

Trojan-Banker.Win32.Bancos.kdj - этот любит воровать пароли. Их лучше поменять, если храните в системе.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены