Крепкий вирус...

[emayo]

Предыистория: примерно месяц назад заразился вирусом. Файлы в папке Windows "winxp.exe", "systemxp.exe" и так далее. Полазил, где-то на этом форуме в какой-то там теме нашел скрипт лечения, у парня был такой же вирус. Да! Я незнал, что каждый случай уникален... В общем, выполнил скрипт, вроде файлы удалились. Уже как с неделю началось следующее...

Симптомы: в игре AVA (сетевой шутер) и Метро2033 каждые 30-40 секунд на 7-9 сек. начинаются сильные тормоза. Параллельно играю в Сталкер ЗП - тормозов нет... Нельзя просмотреть скрытые файлы и папки. Выбираю опцию -> "Ок" и ничего не происходит. Также при загрузке пользователя помимо рабочего стола вторично открывается explorer, от чего открывается проводник. В "Documets and Settings" через какое-то время постоянно создаются две папки с маленьким рандомным набором символов. Не так давно удалил, сейчас их нет, нет возможности посмотреть. =\ Уверен, есть еще полно косяков.

А, еще. В моей личной папке, заметил дня три назад, появился файл "death of winxp.exe". Походу установочный, весит 1.96Кб. Отправлять сюда?

Прежде чем приступить к диагностике (все программы я скачал), хочу, чтобы вы посмотрели на скриншот. Есть вопрос про пункт 5 "Восстановление системы". Хрен его поймет, отключено восстановление системы или нет.


Помимо этого проблема с пунктом 2. При полной проверке компьютера у CureIT постепенно падает скорость проверки. В начале примерно 3Мб\сек. Часов через пять скорость дошла до 90КБ\с, хотя поверилось только чуть больше половины... Нашел в папке TEMP один вирус Trojan.Logger:19995. Назывался "...winxp_.bak". Удалил, но ничего не изменилось.
Та же петрушка и с Kaspersky Virus Removal Tool.

Заранее спасибо.

[ARMA9000]

Выполняйте правила запроса.

. Полазил, где-то на этом форуме в какой-то там теме нашел скрипт лечения, у парня был такой же вирус. Да! Я незнал, что каждый случай уникален...

Какой скрипт выполняли помните?

[emayo]

У меня не настолько офигенная память...)

В процессе произошел один косяк. Запустил sуscure с включенным интернетом. AVZ обнаружил 7 каких-то кривых функций, восстановил. Также был обнаружен вирус в папке с игрой Backdoor.Win32.VB.bqv. после чего AVZ отправил его в карантин
Интернет отключил, сделал повторный анализ. Ниже будет этот лог.

[ARMA9000]

Профиксить:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

Выполнить скрипт:

Код:

begin
 QuarantineFile('C:\Games\AVA\binaries\plugins\codec_flac.dll','');
 QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\pohci13F.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\NAV\1000000.07D\SRTSP.SYS','');
 QuarantineFile('C:\Program Files\Multi Password Recovery\block_reader.sys','');
end.

Карантин загрузить по красной ссылке. Сделать лог GMER(ссылка в подписи).

[emayo]

все сделал еще вчера, но GMEr проверял долго, пришлось перенести на сегодня.
Вот лог:

[ARMA9000]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится jnpeof8c.exeслучайное имя утилиты (gmer).

Код:

jnpeof8c.exe -del service jqosetcv 
jnpeof8c.exe -del Reg "HKLM\SYSTEM\CurrentControlSet\Services\jqosetcv"
jnpeof8c.exe -del Reg "HKLM\SYSTEM\ControlSet002\Services\jqosetcv"
jnpeof8c.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer+ логи по правилам.

[emayo]

Сделал как сказал. В процессе работы .bat файла, во время выполнения второй строки вылетело "Не найден указанный модуль". Дальше все по плану.

второй explorer при загрузке рабочего стола больше не вылетает. Больше изменений не наблюдал. А так AVZ там же нашел Backdoor, так же перехватил 7 функции, только про функцию "jqosetcv" не крякнул.

[ARMA9000]

В данный момент на что жалуемся?

[emayo]

А так AVZ там же нашел Backdoor, так же перехватил 7 функции

больше разве не будет?
Скрытые файлы и папки не могу просмотреть.

Так. Игра тормозит так же как и раньше. После проверки avz он снова подозревает тот же файл на подозрения backdoor'a, плюс постоянно работает перехватчиком spwm.sys. Или такой же файл с другим названием.

Отключил потенциально опасные службы "обнаружения SSDP", "планировщик Заданий" и "Диспетчер сеанса справки для удаленного рабочего стола".

Вопрос: может ли это быть вызвано отключенной службой "DNS-клиент", и насколько он важен для сетевого шутера?

[emayo]

Еще, кстати, в процессах висит rundll32.exe. Чего он там забыл - хрен его знает, может от ПО какого. А может и вирус...
Игра раньше не тормозила, и вообще все было в порядке. Никто за это время по компу не бил, рядом с батареей не ставил и пр. 95% что это вирус вертит процессор =\

[DefesT]

Пофиксите в Hijackthis:

Код:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKLM\..\Policies\Explorer\Run: [systemxp] C:\WINDOWS\systemxp.exe

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\systemxp.exe','');
 QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\pohci13F.sys','');
 DeleteService('pohci13F');
 DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\pohci13F.sys');
 DeleteFile('C:\WINDOWS\systemxp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','systemxp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам virusinfo_syscheck.zip и hijackthis.log

[emayo]

Блин первый раз нормально отправил, а сейчас забыл пароль на архив поставить, емое простите мужики!!!((
А так все готово! Сейчас проверю вылечился или нет!

Блин, снова при проверке AVZ, он перехватывает какие-то функции, перехватчик файл spru.sys (или другой с таким же почти названием), а дальше вообще не определяет..... Все еще подозревает codec_flac.dll в папке с игрой((
Еще 4 (может больше, может меньше) процесса GoogleUpdate.exe при запуске системы висят. Вроде со временем отпадают, остается один. Памяти на них выделяемой, это от 6Мб до 900Кб, не меняется.
Скрытые файлы и папки все еще нельзя просмотреть....

[PavelA]

файл spru.sys - это от эмулятора дисков.

[emayo]

то есть этот перехват функции - стандартный? чтоб мне знать на будущее)

И еще! Вы про файл "death of winxp.exe" забыли?? Все там же висит, активности вроде никакой.

[PavelA]

А, еще. В моей личной папке, заметил дня три назад, появился файл "death of winxp.exe". Походу установочный, весит 1.96Кб. Отправлять сюда?
---
Присылайте через карантин AVZ.

[emayo]

Эмм... А он его и не детектирует никак.
Отправлю так

[PavelA]

Значит так. В AVZ: Сервис - поиск на диске - ищем death of winxp.exe -- если найдется, то помещаем в карантин и присылаем через красную ссылку.

[emayo]

Готово.

[PavelA]

По Вирустотал файл чистый. Можно его просто удалить.

[emayo]

Сделал.
Кстати в диспетчере задач пропали все имена пользователей. Только "бездействие системы" с "SYSTEM". Перезагрузка не помогает.... знаю, фигня, но мало ли)