Полностью зависает система. Подозрительные процессы в ДЗ

[ENZOOOO]

Собственно проблема в том, что через какое-то время работы зависает система. Полностью. Спасает только перезагрузка. Не открываются сайты производителей антивирусов, не обновляются базы данных нода, в процессах висит множество неизвестных названий. Очень прошу помощи, потому как переустановить систему возможности пока нет.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G1234585}');
 QuarantineFile('C:\WINDOWS\system32\pabu.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 DeleteService('cxmzivds');
 SetServiceStart('Secdrvr', 4);
 DeleteService('Secdrvr');
 SetServiceStart('Secdrvq', 4);
 DeleteService('Secdrvq');
 DeleteService('eem3e0ye6ye7');
 TerminateProcessByName('c:\windows\temp\wpv441275037067.exe');
 TerminateProcessByName('c:\windows\system32\userini.exe');
 TerminateProcessByName('c:\windows\system32\kunnounon.exe');
 TerminateProcessByName('c:\docume~1\helen\locals~1\temp\5781639.exe');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\DODA\JENE\NeST.exe','');
 QuarantineFile('C:\WINDOWS\system32\ponooho.exe','');
 QuarantineFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\023.exe,C:\DOCUME~1\Helen\LOCALS~1\Temp\348.exe,C:\DOCUME~1\Helen\LOCALS~1\Temp\108.exe,C:\DOCUME~1\Helen\LOCALS~1\Temp\563.exe,C:\RECYCLER\S-1-5-21-2284091019-6262240817-311586092-4446\nissan.exe,explorer.exe,C:\Documents and Settings\Helen\Application Data\cift.exe','');
QuarantineFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\023.exe','');
QuarantineFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\348.exe','');
QuarantineFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\108.exe','');
QuarantineFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\563.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2284091019-6262240817-311586092-4446\nissan.exe','');
 QuarantineFile('C:\Documents and Settings\Helen\Application Data\cift.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\Secdrvr.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\Secdrvq.sys','');
 QuarantineFile('C:\WINDOWS\system32\myma.exe','');
 QuarantineFile('c:\windows\temp\wpv441275037067.exe','');
 QuarantineFile('c:\windows\system32\userini.exe','');
 QuarantineFile('c:\windows\system32\kunnounon.exe','');
 QuarantineFile('c:\docume~1\helen\locals~1\temp\5781639.exe','');
 DeleteFile('c:\docume~1\helen\locals~1\temp\5781639.exe');
 DeleteFile('c:\windows\system32\kunnounon.exe');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('c:\windows\temp\wpv441275037067.exe');
 DeleteFile('C:\WINDOWS\system32\myma.exe');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\Secdrvq.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\Secdrvr.sys');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\Documents and Settings\Helen\Application Data\cift.exe');
 DeleteFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\023.exe,C:\DOCUME~1\Helen\LOCALS~1\Temp\348.exe,C:\DOCUME~1\Helen\LOCALS~1\Temp\108.exe,C:\DOCUME~1\Helen\LOCALS~1\Temp\563.exe,C:\RECYCLER\S-1-5-21-2284091019-6262240817-311586092-4446\nissan.exe,explorer.exe,C:\Documents and Settings\Helen\Application Data\cift.exe');
DeleteFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\023.exe');
DeleteFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\348.exe');
DeleteFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\108.exe');
DeleteFile('C:\DOCUME~1\Helen\LOCALS~1\Temp\563.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2284091019-6262240817-311586092-4446\nissan.exe');
 DeleteFile('C:\WINDOWS\system32\ponooho.exe');
 DeleteFile('C:\DODA\JENE\NeST.exe');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\pabu.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zoosoukes');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sasinou');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFileMask('C:\DODA\JENE', '*.*', true);
DeleteDirectory('C:\DODA\JENE');
DeleteFileMask('C:\DODA', '*.*', true);
DeleteDirectory('C:\DODA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer + лог http://virusinfo.info/showpost.php?p=457118&postcount=1

[ENZOOOO]

Вот новые логи. Гмер уже 4 раз пытаюсь сделать логи, при попытке их сохранить, компьютер зависает.
Карантин прислал 100601_003811_virusinfo_cure_4c041e333f5bc.zip
PS. Gmer теперь вешает систему даже не заканчивая проверки. Просто грузит процессор на 50% и ни шагу в сторону. Кроме того, процесс ponooho.exe снова в диспетчере.
PPS. При попытке сохранить логи не оконченной проверки, процесс Lsass загружает систему полностью.
Загрузка процессора идет на 2 процесса: Lsass - 50% И ekrn - 50%. При это завершение ekrn не дает эффекта, процесс появляется снова, с той же загрузкой процессора. НО если в момент завершения процесса ekrn у меня пыталась открыться интернет страница в браузере, то соединение сбрасывается.

[ENZOOOO]

Вот кусок лога Gmer. Пока работала проверка, дальше этого момента ничего не находило.

[ENZOOOO]

Еще в процессах висит svchost.exe грузит проц на 50%. При завершении, падают службы Server и Workstation.

[polword]

1.Сохраните текст ниже как 1.bat в ту же папку, где находится b4kxdvyl.exe (GMER) и запустите этот батник(1.bat):

Код:

b4kxdvyl.exe -del service tifxkoaiw
b4kxdvyl.exe -del file "C:\WINDOWS\system32\cmonw.dll"
b4kxdvyl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tifxkoaiw\Parameters"
b4kxdvyl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tifxkoaiw"
b4kxdvyl.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tifxkoaiw\Parameters"
b4kxdvyl.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tifxkoaiw"
b4kxdvyl.exe -reboot

Компьютер перезагрузится.

После перезагрузки:

2.удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g1234585} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
C:\DODA\JENE (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Helen\Desktop\avz4\Infected\2010-05-31\avz00001.dta (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Helen\Desktop\avz4\Infected\2010-05-31\avz00002.dta (Worm.Conficker) -> No action taken.
C:\Documents and Settings\Helen\Desktop\avz4\Quarantine\2010-05-31\avz00001.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Desktop\avz4\Quarantine\2010-05-31\avz00003.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Desktop\avz4\Quarantine\2010-05-31\avz00011.dta (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Helen\Desktop\avz4\Quarantine\2010-05-31\avz00012.dta (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Helen\Desktop\avz4\Quarantine\2010-05-31\avz00013.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TM11.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TM18.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TM2A.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TM81.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TM9.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TMC.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TMD.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temp\~TMF.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Local Settings\Temporary Internet Files\Content.IE5\O589S7EP\3[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Helen\Application Data\wiaservg.log (Malware.Trace) -> No action taken.

3.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
 QuarantineFile('C:\WINDOWS\Temp\wpv051275029355.exe','');
 QuarantineFile('C:\WINDOWS\Temp\wpv101275036761.exe','');
 QuarantineFile('C:\WINDOWS\Temp\wpv411275029355.exe ','');
 QuarantineFile('C:\WINDOWS\Temp\wpv421275029296.exe','');
 QuarantineFile('C:\WINDOWS\Temp\wpv441275311461.exe','');
 DeleteFile('C:\WINDOWS\Temp\wpv051275029355.exe');
 DeleteFile('C:\WINDOWS\Temp\wpv101275036761.exe');
 DeleteFile('C:\WINDOWS\Temp\wpv411275029355.exe ');
 DeleteFile('C:\WINDOWS\Temp\wpv421275029296.exe');
 DeleteFile('C:\WINDOWS\Temp\wpv441275311461.exe');
 QuarantineFile('C:\WINDOWS\system32\ponooho.exe','');
 QuarantineFile('c:\windows\system32\vavoomou.exe','');
 TerminateProcessByName('c:\windows\system32\vavoomou.exe');
 DeleteFile('c:\windows\system32\vavoomou.exe');
 DeleteFile('C:\WINDOWS\system32\ponooho.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sasinou');
 QuarantineFile('C:\Documents and Settings\Helen\Local Settings\Temporary Internet Files\Content.IE5\O589S7EP\3[1].exe ','');
 DeleteFile('C:\Documents and Settings\Helen\Local Settings\Temporary Internet Files\Content.IE5\O589S7EP\3[1].exe ');
 DeleteFileMask('C:\Documents and Settings\Helen\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\wbem\grpconv.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log; MBAM; Gmer

[thyrex]

А также проверьте наличие файла C:\WINDOWS\system32\grpconv.exe и при необходимости восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\helen\application data\cift.exe - Backdoor.Win32.EggDrop.bmn ( DrWEB: BackDoor.Butter.23, BitDefender: Backdoor.Generic.368634, AVAST4: Win32:Dracur-D [Cryp] )
  2. c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BX, AVAST4: Win32:Rootkit-gen [Rtk] )
  3. c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BX, AVAST4: Win32:Rootkit-gen [Rtk] )