Помогите с вирусами

[krivoshapov]

Система тормазит вижу вирусы через AVZ, но убить не получается.
Установлен winXP
Защита Kaspersky WorkStation 6 антивирус переодически умерает на этой машине.

Заранее благодарен за помощь.

[polword]

- Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\System Volume Information\_restore{9D739065-3038-4A6E-8A08-9B39AF10DC7F}\RP23\A0038186.exe:userini.exe:$DATA','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\Program Files\Common Files\Uninstall.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\Documents and Settings\MH\Application Data\juzjf.exe','');
 DeleteService('rifofhtt');
 QuarantineFile('C:\WINDOWS\system32\Drivers\rifofhtt.sys','');
 DeleteService('dfg3ea5');
 QuarantineFile('C:\WINDOWS\System32\drivers\dfg3ea5.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\WINDOWS\Temp\wpv111285103307.exe','');
 QuarantineFile('c:\windows\temp\wpv111285103307.exe','');
 TerminateProcessByName('c:\windows\temp\wpv111285103307.exe');
 DeleteFile('c:\windows\temp\wpv111285103307.exe');
 DeleteFile('C:\WINDOWS\Temp\wpv111285103307.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\dfg3ea5.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\rifofhtt.sys');
 DeleteFile('C:\Documents and Settings\MH\Application Data\juzjf.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{9D739065-3038-4A6E-8A08-9B39AF10DC7F}\RP23\A0038186.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 QuarantineFile('C:\System Volume Information\_restore{9D739065-3038-4A6E-8A08-9B39AF10DC7F}\RP23\A0038186.exe:userini.exe','');
 QuarantineFile('','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
 DeleteFile('C:\System Volume Information\_restore{9D739065-3038-4A6E-8A08-9B39AF10DC7F}\RP23\A0038186.exe:userini.exe');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
 DeleteFile('');
 DeleteFile('');
 DelBHO('');
 DelCLSID('');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer

[krivoshapov]

сделать лог программой GMER не получается, системник сам по себе перезагружается в процессе сканирования. Карантин выслал.

[polword]

- сделайте лог Combofix

[krivoshapov]

скачал я combofix и запустил, он ругнулся на руткиты и сказал что надо перезагрузиться, после чего он продолжит сканирование, системник перезагрзился, передзагрузкой винды запустился combofix чтоб сканировать и так уже 30 минут висит голубое окно и нитуда и не сюда. Что делать????

Добавлено через 1 час 0 минут

отправил логи combofix

[polword]

- Восстановите файл C:\WINDOWS\system32\grpconv.exe из дистрибутива.

повторите лог combofix

только прикрепляйте лог к сообщению, а не загружайте его по ссылке Прислать запрошенный карантин вверху темы

[krivoshapov]

новый лог combofix

ComboFix 10-09-26.04 - MH 28.09.2010 11:40:19.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1015.713 [GMT 4:00]
Running from: c:\documents and settings\MH\Рабочий стол\ComboFix.exe
AV: Антивирус Касперского *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Антивирус Касперского *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Autorun.inf
c:\documents and settings\All Users\Application Data\common.data
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\MH\Application Data\addon.dat
c:\documents and settings\MH\Application Data\wiaservg.log
c:\documents and settings\MH\sudthbnh.exe
c:\documents and settings\MH\sudthbnhњ.exe
c:\program files\Microsoft Common\svchost.exe
c:\windows\addins\svchost.exe
c:\windows\Fonts\JOURNAL5.TTF
c:\windows\system32\Messenger\ctfmon.exe
c:\windows\system32\wbem\grpconv.exe

-- Previous Run --

c:\windows\system32\grpconv.exe . . . is missing!!

--------

.
((((((((((((((((((((((((( Files Created from 2010-08-28 to 2010-09-28 )))))))))))))))))))))))))))))))
.

2010-09-28 07:43 . 2010-09-28 07:43 53248 ----a-w- c:\temp\catchme.dll
2010-09-28 07:38 . 2010-09-28 07:38 16384 ----atw- c:\temp\Perflib_Perfdata_644.dat
2010-09-28 07:26 . 2008-04-14 17:40 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-09-27 14:55 . 2010-09-27 13:57 3854875 ----a-w- C:\ComboFix.exe
2010-09-27 10:09 . 2010-09-27 10:09 33280 ----a-w- c:\windows\system32\sudthbnhњ.exe
2010-09-27 05:40 . 2010-09-27 05:40 30720 ----a-w- c:\windows\system32\sudthbnh.exe
2010-09-19 08:20 . 2010-09-19 08:20 -------- d-sh--w- c:\documents and settings\MH\PrivacIE
2010-09-19 08:18 . 2010-09-19 08:18 -------- d-sh--w- c:\documents and settings\MH\IETldCache
2010-09-19 08:11 . 2009-01-07 14:21 26144 ----a-w- c:\windows\system32\spupdsvc.exe
2010-09-19 08:10 . 2010-09-19 08:11 -------- dc-h--w- c:\windows\ie8
2010-09-19 06:41 . 2010-09-19 06:41 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2 SDK
2010-09-17 11:54 . 2006-01-22 07:41 90346 ----a-w- c:\windows\system32\drivers\aksifdh.sys
2010-09-17 11:54 . 2006-01-22 07:41 34406 ----a-w- c:\windows\system32\drivers\aksup.sys
2010-09-17 11:43 . 2010-09-17 11:44 -------- d-----w- c:\program files\GZKubanJCP
2010-09-17 10:46 . 2010-09-17 10:46 -------- d-----w- c:\documents and settings\MH\Sun
2010-09-17 10:46 . 2010-09-17 10:46 -------- d-----w- c:\windows\Sun
2010-09-17 10:19 . 2010-09-27 16:10 -------- d-----w- c:\temp\MH
2010-09-17 10:18 . 2010-09-27 08:43 -------- d-----w- c:\windows\3909BE712D8F42D2BA463831B60CFD0F.TMP
2010-09-17 10:17 . 2009-07-01 08:57 13312 ----a-w- c:\windows\system32\drivers\rtIFDH.sys
2010-09-17 10:17 . 2010-09-17 10:17 -------- d-----w- c:\windows\system32\Aktiv Co
2010-09-17 08:06 . 2010-09-17 08:06 503808 ----a-w- c:\documents and settings\MH\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf0 4-7748dc4c-n\msvcp71.dll
2010-09-17 08:06 . 2010-09-17 08:06 499712 ----a-w- c:\documents and settings\MH\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf0 4-7748dc4c-n\jmc.dll
2010-09-17 08:06 . 2010-09-17 08:06 348160 ----a-w- c:\documents and settings\MH\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf0 4-7748dc4c-n\msvcr71.dll
2010-09-17 08:06 . 2010-09-17 08:06 61440 ----a-w- c:\documents and settings\MH\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\448889 2a-1f77bc89-n\decora-sse.dll
2010-09-17 08:06 . 2010-09-17 08:06 12800 ----a-w- c:\documents and settings\MH\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\448889 2a-1f77bc89-n\decora-d3d.dll
2010-09-17 08:06 . 2010-09-17 11:43 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-15 06:40 . 2010-09-17 11:04 -------- d-----w- c:\program files\Common Files\Aladdin Shared
2010-09-15 06:35 . 2004-11-30 11:46 46080 ----a-w- c:\windows\system32\drivers\CProCtrl.sys
2010-09-15 06:35 . 2004-11-03 16:29 3584 ----a-r- c:\windows\system32\CProDspr.dll
2010-09-15 06:35 . 2010-09-15 06:35 -------- d-----w- c:\program files\Crypto Pro
2010-09-15 06:35 . 2010-09-15 06:35 -------- d-----w- c:\program files\Common Files\Crypto Pro
2010-09-03 03:18 . 2010-09-03 03:18 -------- d-----w- c:\documents and settings\MH\Application Data\SulusGames
2010-09-03 03:18 . 2010-09-03 03:18 -------- d-----w- c:\documents and settings\All Users\Application Data\SulusGames

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2010-09-28 07:43 . 2009-02-23 08:16 1642528 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-09-28 07:43 . 2009-02-23 08:16 27215136 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-09-28 07:38 . 2009-02-23 08:16 374408 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-09-28 07:38 . 2009-02-23 08:16 160136 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-09-28 07:29 . 2009-02-23 08:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-09-27 15:38 . 2010-09-27 15:04 596542 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professio nal_32_1049.dat
2010-09-27 05:45 . 2008-03-06 16:55 210816 -c--a-w- c:\windows\system32\drivers\ndis.sys
2010-09-22 13:09 . 2008-03-07 02:48 1034240 ----a-w- c:\windows\explorer.exe
2010-09-17 10:14 . 2008-08-20 09:28 -------- d-----w- c:\program files\Symantec
2010-09-17 10:14 . 2008-08-20 09:28 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-09-16 03:21 . 2010-04-26 03:59 -------- d-----w- c:\program files\Alawar.ru
2010-08-27 03:20 . 2010-08-27 03:20 -------- d-----w- c:\documents and settings\MH\Application Data\Settlement. Colossus
2010-08-24 03:27 . 2010-08-24 03:27 -------- d-----w- c:\documents and settings\MH\Application Data\ERS G-Studio
2010-07-27 04:14 . 2004-08-18 13:00 62626 ----a-w- c:\windows\system32\perfc019.dat
2010-07-27 04:14 . 2004-08-18 13:00 416086 ----a-w- c:\windows\system32\perfh019.dat
2010-07-20 08:45 . 2010-07-20 08:45 125 ----a-w- c:\documents and settings\MH\Local Settings\Application Data\fusioncache.dat
2010-07-19 13:51 . 2008-12-22 07:48 26 ----a-w- c:\windows\popcinfo.dat
2010-07-14 06:39 . 2010-07-14 06:39 99328 ----a-w- c:\windows\system32\AnVir.exe
2001-02-21 04:38 . 2001-02-21 04:38 0 ---h--w- c:\program files\Common Files\klog.dat
.

------- Sigcheck -------

[-] 2010-09-27 05:45 . 5359CFB5BA40C2801C7338C3DF2D7F03 . 210816 . . [------] . . c:\windows\system32\drivers\ndis.sys
[-] 2010-09-27 05:45 . 5359CFB5BA40C2801C7338C3DF2D7F03 . 210816 . . [------] . . c:\windows\system32\dllcache\ndis.sys

[-] 2008-03-18 . 0C36226A3334F577863A6FCE61C13BB9 . 1571840 . . [5.1.2600.5503] . . c:\windows\system32\sfcfiles.dll

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2009-12-23 8706312]

[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"GrandStroyInfo"="c:\program files\Grand\StroyInfo\4.1\Server\Ginfosrv.exe" [2009-07-14 4145152]
"eTCertManger"="c:\windows\system32\eTCrtMng.e xe" [2007-08-15 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-03-07 15360]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"Start_NotifyNewApps"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, cpssp.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^MH^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]
path=c:\documents and settings\MH\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk
backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2006-08-16 15:41 114688 ----a-r- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2006-08-16 15:39 98304 ----a-r- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 07:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
2004-07-29 00:41 1122304 ----a-w- c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2006-08-16 15:38 94208 ----a-r- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-08-20 09:44 77824 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-04-10 07:28 16126464 ------r- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Grand\\StroyInfo\\4.1\\Server\\Ginfosrv.exe "=

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [29.07.2004 3:33 138780]
R1 CProCtrl;КриптоПро CSP драйвер;c:\windows\system32\drivers\CProCtrl.sys [15.09.2010 10:35 46080]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIM ount.sys [29.07.2004 4:13 46779]
R1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\ra ddrvv3.sys [24.04.2008 8:49 45848]
R2 DBAccess;Grand Smeta Data Base Access Server;c:\program files\Grand\GrandSmeta 4.0\Server\Gssrv.exe [13.10.2009 9:03 717824]
R2 klnagent;Kaspersky Network Agent;c:\program files\Kaspersky Lab\NetworkAgent\klnagent.exe [09.03.2007 19:12 91265]
R3 GrdKey;Guardant LPT Dongle Service;c:\windows\system32\drivers\grdkey.sys [08.11.2007 20:44 677504]
R3 GrdUsb;Guardant USB Dongle Service;c:\windows\system32\drivers\grdusb.sys [26.02.2009 12:44 702848]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [02.02.2007 13:31 24344]
R3 RTIFDH;RTIFDH;c:\windows\system32\drivers\rtIFDH.s ys [17.09.2010 14:17 13312]
S2 catawg;Server Manager;c:\windows\system32\svchost.exe -k netsvcs [07.03.2008 6:49 14336]
S2 syxczcxvp;Center Windows;c:\windows\system32\svchost.exe -k netsvcs [07.03.2008 6:49 14336]
S2 WebaltaController;Webalta Controller;"c:\program files\Webalta\WebaltaUpdaterService.exe" -service --> c:\program files\Webalta\WebaltaUpdaterService.exe [?]
S3 AKSUP;AKSUP;c:\windows\system32\drivers\aksup.sys [17.09.2010 15:54 34406]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sy s [18.08.2008 17:47 35840]
S3 OlCamudp;OLYMPUS Digital Camera;c:\windows\system32\drivers\olcamudp.sys [14.01.2009 16:59 10379]
S4 RServer3;Radmin Server V3;c:\windows\system32\rserver30\rserver3.exe [24.04.2008 8:44 1238344]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
uDefault_Search_URL =
mStart Page = about:blank
mSearch Bar =
uInternet Settings,ProxyServer = 192.168.0.1:8080
uSearchAssistant = about:blank
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: roseltorg.ru\etp
Trusted Zone: sberbank-ast.ru
Trusted Zone: zakazrf.ru\web-ppo
TCP: {1AB9AE3B-3ECB-4A58-97EC-AAB5E6C56AFC} = 94.128.139.2,77.233.1.1
DPF: {2E3F2257-5717-48F6-B923-F83E908E2311} - hxxps://web-ppo.zakazrf.ru/ICLCrypt-x32.cab
FF - ProfilePath - c:\documents and settings\MH\Application Data\Mozilla\Firefox\Profiles\cqpprbov.default\
FF - prefs.js: browser.startup.homepage - hxxp://10.30.26.100/
FF - plugin: c:\program files\GZKubanJCP\jre6\bin\new_plugin\npdeployJava1 .dll
FF - plugin: c:\program files\GZKubanJCP\jre6\bin\new_plugin\npjp2.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-NevoDRM - c:\игры от nevosoft\NevoDRM\NevoDRM.exe
AddRemove-4_elements - c:\program files\Игры от NevoSoft\4 Elements\uninstall.exe
AddRemove-anabel - c:\program files\Игры от NevoSoft\Anabel\uninstall.exe
AddRemove-brick_shooter_egypt - c:\program files\Игры от NevoSoft\Brick Shooter Egypt\uninstall.exe
AddRemove-cassandra_journey - c:\игры от nevosoft\Cassandra Journey\uninstall.exe
AddRemove-charm_tale_2 - c:\program files\Игры от NevoSoft\Charm Tale 2\uninstall.exe
AddRemove-great_secrets_davinci - c:\program files\Игры от NevoSoft\Great Secrets DaVinci\uninstall.exe
AddRemove-green_valley - c:\игры от nevosoft\Green Valley\uninstall.exe
AddRemove-hidden_secrets - c:\program files\Игры от NevoSoft\Hidden Secrets\uninstall.exe
AddRemove-insider_tales_casanova - c:\игры от nevosoft\Insider Tales Casanova\uninstall.exe
AddRemove-lara_johns - c:\program files\Игры от NevoSoft\Lara Johns\uninstall.exe
AddRemove-lara_johns_2 - c:\игры от nevosoft\Lara Johns 2\uninstall.exe
AddRemove-leeloos_talent_agency - c:\игры от nevosoft\Leeloos Talent Agency\uninstall.exe
AddRemove-magic_academy - c:\program files\Игры от NevoSoft\Magic Academy\uninstall.exe
AddRemove-magic_academy_2 - c:\игры от nevosoft\Magic Academy 2\uninstall.exe
AddRemove-mahjongg_artifacts_2 - c:\program files\Игры от Nevosoft\Mahjongg Artifacts 2\uninstall.exe
AddRemove-neptunes_secret - c:\игры от nevosoft\Neptunes Secret\uninstall.exe
AddRemove-secrets_of_town_n_2 - c:\program files\Игры от NevoSoft\Secrets Of Town N 2\uninstall.exe
AddRemove-SPORE COMPLETE EDITION_is1 - c:\program files\SPORE COMPLETE EDITION\Uninstall\unins000.exe
AddRemove-stone_jong - c:\игры\Stone Jong\uninstall.exe
AddRemove-stone_of_destiny - c:\program files\Игры от NevoSoft\Stone Of Destiny\uninstall.exe
AddRemove-treasure_seekers - c:\program files\Игры от NevoSoft\Treasure Seekers\uninstall.exe
AddRemove-Worms - Мировая вечеринка_is1 - c:\program files\Russobit-M\Worms World Party\unins000.exe
AddRemove-Алабама Смит и последний день Помпеи - c:\program files\Alawar.ru\Алабама Смит и последний день Помпеи\Uninstall.exe
AddRemove-Байка Койота. Огонь и вода - c:\program files\Alawar.ru\Байка Койота. Огонь и вода\Uninstall.exe
AddRemove-Веселая ферма 3 - c:\program files\Alawar\Веселая ферма 3\Uninstall.exe
AddRemove-Дарья. Загадочное путешествие - c:\program files\Alawar.ru\Дарья. Загадочное путешествие\Uninstall.exe
AddRemove-Дивный сад - c:\program files\Alawar.ru\Дивный сад\Uninstall.exe
AddRemove-Загадка эльфов 2 - c:\program files\Alawar.ru\Загадка эльфов 2\Uninstall.exe
AddRemove-Записки волшебника. Заколдованный город - c:\program files\Games.Mail.Ru\Записки волшебника. Заколдованный город\Uninstall.exe
AddRemove-Золотые истории. Западная лихорадка - c:\program files\Alawar.ru\Золотые истории. Западная лихорадка\Uninstall.exe
AddRemove-Колыбель cвета - c:\program files\Games.Mail.Ru\Колыбель cвета\Uninstall.exe
AddRemove-Кровные узы - c:\program files\Alawar.ru\Кровные узы\Uninstall.exe
AddRemove-Кулинарные тайны - c:\program files\Games.Mail.Ru\Кулинарные тайны\Uninstall.exe
AddRemove-Магическая энциклопедия. Том 1 - c:\program files\Alawar.ru\Магическая энциклопедия. Том 1\Uninstall.exe
AddRemove-Магическая энциклопедия. Том I - c:\program files\Games.Mail.Ru\Магическая энциклопедия. Том I\Uninstall.exe
AddRemove-Маджонг Матч - c:\program files\Alawar.ru\Маджонг Матч\Uninstall.exe
AddRemove-Маджонг. Тайны прошлого - c:\program files\Games.Mail.Ru\Маджонг. Тайны прошлого\Uninstall.exe
AddRemove-Маша 2. Сказочная страна - c:\program files\Games.Mail.Ru\Маша 2. Сказочная страна\Uninstall.exe
AddRemove-Между Мирами - c:\program files\Alawar.ru\Между Мирами\Uninstall.exe
AddRemove-Натали Брукс. Сокровища затерянного королевства - c:\program files\Games.Rambler.ru\Натали Брукс. Сокровища затерянного королевства\Uninstall.exe
AddRemove-Натали Брукс. Тайны одноклассников - c:\program files\Alawar.ru\Натали Брукс. Тайны одноклассников\Uninstall.exe
AddRemove-Невероятные приключения Эдгара - c:\program files\Alawar.ru\Невероятные приключения Эдгара\Uninstall.exe
AddRemove-Непобедимый - c:\program files\Alawar.ru\Непобедимый\Uninstall.exe
AddRemove-Остров секретов - c:\program files\Alawar.ru\Остров секретов\Uninstall.exe
AddRemove-Охотники за привидениями. Призраки в поместье Мажести - c:\program files\Games.Rambler.ru\Ghost Hunters\Uninstall.exe
AddRemove-Панель инструментов Webalta_is1 - c:\program files\Webalta\unins000.exe
AddRemove-Правитель. Колосс - c:\program files\Alawar.ru\Правитель. Колосс\Uninstall.exe
AddRemove-Преступление и наказание. Кто подставил Раскольникова? - c:\program files\Alawar.ru\Преступление и наказание. Кто подставил Раскольникова\Uninstall.exe
AddRemove-Сага о вампире. Ящик Пандоры - c:\program files\Alawar.ru\Сага о вампире. Ящик Пандоры\Uninstall.exe
AddRemove-Снежок. Охотник за сокровищами - c:\program files\Alawar.ru\Снежок. Охотник за сокровищами\uninstal.exe
AddRemove-Сумасшедшие каникулы. Похищение века - c:\program files\Alawar.ru\Сумасшедшие каникулы. Похищение века\Uninstall.exe
AddRemove-Утерянная гробница Ирода - c:\program files\Alawar.ru\Утерянная гробница Ирода\Uninstall.exe
AddRemove-Храбрые гномы. Назад за сокровищами! - c:\program files\Alawar.ru\Храбрые гномы. Назад за сокровищами!\Uninstall.exe
AddRemove-Шерлок Холмс. Тайна персидского ковра - c:\program files\Alawar.ru\Шерлок Холмс. Тайна персидского ковра\Uninstall.exe



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-28 11:43
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\c atawg]
"ServiceDll"="c:\windows\system32\ftnsb.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\s yxczcxvp]
"ServiceDll"="c:\windows\system32\bvgedicp.dll "
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\klogon.dll
c:\program files\Crypto Pro\CSP\cpsuprt.dll

- - - - - - - > 'lsass.exe'(812)
c:\program files\Crypto Pro\CSP\cpsuprt.dll
.
Completion time: 2010-09-28 11:45:23
ComboFix-quarantined-files.txt 2010-09-28 07:45

Pre-Run: 17*165*688*832 байт свободно
Post-Run: 17*120*698*368 байт свободно

- - End Of File - - C51FD007A5A937615151D90290249DB1

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\ftnsb.dll
c:\windows\system32\bvgedicp.dll
c:\program files\Common Files\klog.dat
c:\windows\system32\sudthbnh.exe
c:\windows\system32\sudthbnhњ.exe

Driver::
syxczcxvp
catawg

NetSvc::

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\syxczcxvp]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catawg]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[krivoshapov]

новый лог

ComboFix 10-09-26.04 - MH 28.09.2010 14:55:04.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1015.653 [GMT 4:00]
Running from: C:\Documents and Settings\MH\Рабочий стол\ComboFix.exe
Command switches used :: C:\Documents and Settings\MH\Рабочий стол\CFScript.txt
AV: Антивирус Касперского *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Антивирус Касперского *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\program files\Common Files\klog.dat"
"c:\windows\system32\bvgedicp.dll"
"c:\windows\system32\ftnsb.dll"
"c:\windows\system32\sudthbnh.exe"
"c:\windows\system32\sudthbnhњ.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\klog.dat
c:\windows\system32\sudthbnh.exe
c:\windows\system32\sudthbnhњ.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATAWG
-------\Legacy_SYXCZCXVP
-------\Service_catawg
-------\Service_syxczcxvp


((((((((((((((((((((((((( Files Created from 2010-08-28 to 2010-09-28 )))))))))))))))))))))))))))))))
.

[polword]

лог оборванный... повторите его. Только прикрепляйте файл ComboFix.txt, а не его содержимое, пожалуйста

[krivoshapov]

лог combofix

[polword]

- Удалите ComboFix
- Сделайте повторный лог virusinfo_syscheck.zip;

[krivoshapov]

Сделать повторный лог в чем???
в AVZ выполнить стандартный скрипт по сбору информации ????

[krivoshapov]

сделал логи avz

[krivoshapov]

вот необходимый лог

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\Temp\mbr.sys','');
 DeleteFile('C:\Temp\mbr.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM

[krivoshapov]

логи

[прочитайте внимательно последние 3 строки предыдущего сообщения]

[krivoshapov]

логи

[krivoshapov]

Прислать карантин по правилам, что означает с паролем или я чего-то не понял ????

Повтороно с поролем не могу загрузить вскакивает ошибка

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Повторно сформировать карантин???

[polword]

- Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.

- Отключите Обязательно!!! Системное восстановление!!!
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\Temp\mbr.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
  BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;