Mkar.E угробил мою систему

[Snake_man]

Просканировал комп Авирой и она удалила следующие файлы:

C:\SOS\PE1\minint\EXPLORER.EXE
C:\SOS\LS\$WIN_NT$.~LS\I386\SVCPACK\FP_AX.EXE
C:\SOS\LS\$WIN_NT$.~LS\I386\AUTOFMT.EXE
C:\SOS\LS\$WIN_NT$.~LS\I386\AUTOCHK.EXE
C:\RECYCLER\S-1-5-21-2025429265-1035525444-1801674531-500\Dc3.exe
C:\RECYCLER\S-1-5-21-2025429265-1035525444-1801674531-500\Dc5\Программы\magentsetup.exe
C:\SOS\LS\$WIN_NT$.~LS\I386\SVCPACK\MSXML.EXE
C:\SOS\PE1\minint\SYSTEM32\AUTOFMT.EXE
C:\SOS\PE1\minint\SYSTEM32\AUTOCHK.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\RTLCPL.EXE
C:\SOS\PE1\minint\SYSTEM32\NTOSKRNL.EXE
C:\SOS\PE1\minint\SYSTEM32\NTKRNLMP.EXE
C:\WINDOWS\RtlUpd.exe
C:\SOS\PE1\minint\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SkyTel.exe
C:\WINDOWS\$NtUninstallwmp11$\setup_wm.exe
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.e xe
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
C:\WINDOWS\OemDrv\S\R2\AlcWzrd.exe
C:\WINDOWS\OemDrv\S\R2\MicCal.exe
C:\WINDOWS\OemDrv\S\R2\RtlUpd.exe
C:\WINDOWS\OemDrv\S\R2\SkyTel.exe
C:\WINDOWS\OemDrv\S\R2\RTLCPL.exe
C:\WINDOWS\OemDrv\V\N1\nvcplui.exe
C:\WINDOWS\system32\accwiz.exe
C:\WINDOWS\OemDrv\V\N1\nwiz.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe
C:\WINDOWS\system32\autochk.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpSvc.exe
C:\WINDOWS\OemDrv\V\N1\nvdspsch.exe
C:\WINDOWS\system32\autoconv.exe
C:\WINDOWS\system32\autofmt.exe
C:\WINDOWS\system32\dxdiag.exe
C:\WINDOWS\system32\Hoster.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\mstsc.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\nvcplui.exe
C:\WINDOWS\system32\ntbackup.exe
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\nvdspsch.exe
C:\WINDOWS\system32\wiaacmgr.exe
C:\WINDOWS\system32\spider.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\nwiz.exe
C:\WINDOWS\system32\usmt\migwiz.exe
C:\WINDOWS\system32\XMNT2002.exe

После чего при запуске винды:

1. Пропал рабочий стол и нижняя планка со значками "старт", быстрый запуск, трей и т. д.
2. До этого было где-то 60-61 процесс в Диспечере Задач, стало где-то 34.
3. Эксплорер не смог вначале запустить при введении его названия в ДЗ, а потом вдруг запустил и появился рабочий стол, нижняя планка, и я смог открыть браузер и зайти на ваш сайт.

Теперь прошу помощи. Может кто знает, какие из вышеперечисленных и удалённых файлов являются системными и важными? А то куча значков в трее пропало... И почему процессов в два раза меньше стало? (теперь 3

Ещё:

Система у меня на диске Е, если что. На диске С вторая система, запасная.
На одном сайте мне подсказали, что у меня на компе вирус W32/Mkar.E. Пробовал его лечит Куреитом от Веба, но что-то улучшений не вижу, хоть по логам и видно было исцелённые файлы.
Проблемы у меня сохраняются. Я не могу почему-то зайти ни на один противовирусный сайт. На ваш тоже. Зашёл вот сейчас только с пмощью мобильного интернета. А через АДСЛ модем не могу. Скорее всего вирус не даёт мне посещать ваш сайт. Другие посещаются нормально.

[Snake_man]

Только что поставил ИЕ8 и проблема с незагрузкой процесса "експлорер" при старте пропала. Но вот на ваш сайт по-прежнему не пускает...

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('\\?\globalroot\systemroot\system32\ePkwDSa.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\X9Tnw60.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\EoStXeu.exe','');
 DeleteService('NetLogSrv');
 QuarantineFile('E:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('e:\program files\speed-link vibration joystick\gm_devupdate.exe','');
 DeleteFile('E:\WINDOWS\system32\drivers\svchost.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\EoStXeu.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\X9Tnw60.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ePkwDSa.exe');
 DeleteFile('E:\WINDOWS\system32\EoStXeu.exe');
 DeleteFile('E:\WINDOWS\system32\X9Tnw60.exe');
 DeleteFile('E:\WINDOWS\system32\ePkwDSa.exe');
 DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9} ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[Snake_man]

Ура. После выполнения вашего скрипта я могу теперь посещать ваш сайт по проводному интернету, а не только мобильному.

Карантин и архивы выслал.

[polword]

больше подозрительного не вижу

[Snake_man]

А Куреит увидел...

bgrglTL.exe;E:\WINDOWS\system32;Trojan.Packed.2032 3;Удален.;
hJdVVnA.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
HSFbKWr.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
iSJCeX2.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;

Это я обновил куреит и сделал им быструю проверку системы. Значит ли это, что возможно где-то на компьютере ещё сидит часть вируса и продолжает клепать свои клоны?

[polword]

А Куреит увидел...

глазастее меня значит Куреит

- Сделайте лог MBAM

[thyrex]

глазастее меня значит Куреит

Неее, глазастее AVZ

[Snake_man]

Сделал.

[polword]

1. удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\navigator (Trojan.Zlob) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 SetAVZPMStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('E:\Program Files\DAEMON Tools Pro\daemon.tools.pro.patch.exe','');
 QuarantineFile('E:\Documents and Settings\All Users\Application Data\{4C2CB1B6-C45E-4307-ACEE-27BE65138599}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd','');
 QuarantineFile('E:\WINDOWS\system32\memman.vxd','');
 QuarantineFile('F:\Program Files\Internet Download Manager\Patch.exe','');
 DeleteFile('E:\Documents and Settings\All Users\Application Data\{4C2CB1B6-C45E-4307-ACEE-27BE65138599}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd');
 DeleteFile('E:\WINDOWS\system32\memman.vxd');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM

[Snake_man]

Карантин прислать не могу, так как пишет, что этот файл уже был загружен, хотя я его не загружал ещё.

[Snake_man]

ап

Добавлено через 1 час 46 минут

Ну так что там? Нет больше вирусов в логе?

[thyrex]

Ничего необычного

[Snake_man]

Спасибо за помощь. Прогу закрываю.

[Alexey P.]

Надеюсь, Вы сделали не только быструю проверку куреитом, но и полную.
И лучше обновите его, это имеет смысл каждый раз, в том числе и ночью.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\?\globalroot\systemroot\system32\eostxeu.exe - Trojan.Win32.Inject.aqut ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. \\?\globalroot\systemroot\system32\epkwdsa.exe - Trojan.Win32.Inject.aqut ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Rootkit-gen [Rtk] )
  3. \\?\globalroot\systemroot\system32\x9tnw60.exe - Trojan-Spy.Win32.Shiz.ce ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4120052, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Spyware-gen [Spy] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !