Целый пакет зловредных вирусов!

**noonehome** · 28.03.2010, 19:54

Наблюдаются следующие проблемы:
1) слетает звук, причем именно стандартные виндовские микшеры
2) вылетает ошибка Generic Host Win32 processes
3) периодически начинают бешено генерироваться окна с какой ошибкой несуществующей программы, при этом диспетчер задач показывает множественный запуск процесса syre32
4) множество "левых" процессов: umdmgr.exe, syre32.exe, cidrive.exe, X.exe, где Х-число от 1 до 1000

Соответственно серьезно упала производительность машины. Антивирусы оказались бессильны. Помогите пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 28.03.2010, 20:22

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
terminateprocessbyname('F:\WINDOWS\system32\umdmgr.exe');
 QuarantineFile('F:\RECYCLER\S-1-5-21-8562727992-8274133030-328035668-9419\syscr.exe','');
 QuarantineFile('F:\WINDOWS\system32\logon.scr','');
 QuarantineFile('F:\System Volume Information\_restore{BC6241A9-BF3C-475E-94D7-56CD9D7E7FA3}\RP1\A0000029.scr','');
 QuarantineFile('F:\WINDOWS\system32\umdmgr.exe','');
 QuarantineFile('F:\WINDOWS\system32\syre32.exe','');
 QuarantineFile('F:\WINDOWS\system32\msvmcls64.exe','');
 QuarantineFile('F:\WINDOWS\system32\.exe','');
 QuarantineFile('F:\WINDOWS\ndll.exe','');
 QuarantineFile('F:\WINDOWS\jjdrive32.exe','');
 QuarantineFile('F:\WINDOWS\cidrive32.exe','');
  QuarantineFile('F:\RECYCLER\S-1-5-21-8562727992-8274133030-328035668-9419\syscr.exe','');
  QuarantineFile('F:\RECYCLER\S-1-5-21-8256274527-0381162581-259373066-8863\wmfcgr.exe','');
  QuarantineFile('F:\RECYCLER\S-1-5-21-4924529600-7314696115-643252364-0428\syscr.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-0609913008-5857336788-697393397-2702\wmfcgr.exe','');
 QuarantineFile('F:\RECYCLER\S-1-5-21-0609913008-5857336788-697393397-2702\wmfcgr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 DeleteService('Nimb8xhmwm');
 QuarantineFile('Nimb8xhmwm.sys','');
 QuarantineFile('f:\windows\system32\wuauclt.exe','');
 DeleteFile('Nimb8xhmwm.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 DeleteFile('F:\RECYCLER\S-1-5-21-0609913008-5857336788-697393397-2702\wmfcgr.exe');
 DeleteFile('F:\RECYCLER\S-1-5-21-0609913008-5857336788-697393397-2702\wmfcgr.exe');
 DeleteFile('F:\WINDOWS\cidrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('F:\WINDOWS\jjdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 DeleteFile('F:\WINDOWS\ndll.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
 DeleteFile('F:\WINDOWS\system32\.exe');
 DeleteFile('F:\WINDOWS\system32\msvmcls64.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
 DeleteFile('F:\WINDOWS\system32\syre32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
 DeleteFile('F:\WINDOWS\system32\umdmgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','003');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','916');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','658');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','582');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','770');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','227');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','207');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','044');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','912');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','996');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','612');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','881');
 DeleteFile('F:\System Volume Information\_restore{BC6241A9-BF3C-475E-94D7-56CD9D7E7FA3}\RP1\A0000029.scr');
 DeleteFile('F:\RECYCLER\S-1-5-21-8562727992-8274133030-328035668-9419\syscr.exe');
DeleteFileMask('F:\RECYCLER', '*.*', true);
DeleteFileMask('C:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',3,3,true);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.

**thyrex** · 28.03.2010, 21:33

+ к миднайт

Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1

**noonehome** · 31.03.2010, 13:01

лог combofix пришлю чуть позже

**noonehome** · 31.03.2010, 13:23

собственно

**thyrex** · 31.03.2010, 14:19

F:\WINDOWS\system32\logon.scr замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('F:\RECYCLER\S-1-5-21-0911685631-5193644208-367697053-9507\syscr.exe');
 DeleteFile('F:\WINDOWS\cidrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RenameFile('%windir%\system32\wuauclt.exe', '%windir%\system32\wuauclt.bak');
CopyFile('%windir%\system32\dllcache\wuauclt.exe', '%windir%\system32\wuauclt.exe');
DeleteFile('%windir%\system32\wuauclt.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**CyberHelper** · 01.04.2010, 14:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 42
В ходе лечения обнаружены вредоносные программы:
1. f:\recycler\s-1-5-21-0609913008-5857336788-697393397-2702\wmfcgr.exe - Trojan.Win32.VBKrypt.ia ( DrWEB: Trojan.Inject.8502, BitDefender: Trojan.Generic.3600853, AVAST4: Win32:VB-OTY [Drp] )
2. f:\recycler\s-1-5-21-8562727992-8274133030-328035668-9419\syscr.exe - P2P-Worm.Win32.Palevo.ytp ( DrWEB: Trojan.Inject.8500, AVAST4: Win32:VB-OTV [Drp] )
3. f:\windows\cidrive32.exe - Net-Worm.Win32.Kolab.hms ( DrWEB: Trojan.MulDrop1.10519, AVAST4: Win32:Rootkit-gen [Rtk] )
4. f:\windows\system32\umdmgr.exe - Trojan.Win32.VB.adqj ( DrWEB: Trojan.MulDrop1.10172, BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )