Вирусня, а ля cfdrive32.exe и компания

[Baz1k]

Устал уже от них.

Логи прилагаю.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\25.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\15.exe');
 DeleteFile('C:\WINDOWS\system32\02.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\43.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\723.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[Baz1k]

Карантин не захотел загружаться. Вылезла ошибка "Ошибка загрузки. Данный файл уже был загружен"

Логи прилагаю.

[olejah]

Это у меня уже на ночь мысли путаются, не нужно карантин загружать

- Что с проблемой?

[Baz1k]

А дак опять в процессах этот cfdrive32.exe...

И еще: возможно, он появился после того, как я флешку вставил. На ней был всем известный autorun.inf и папка myfolder (скрытые оба). Unlocker'ом их разблокировал (оба лезут в процесс Explorer.exe), удалил, флешку вытащил. Вставил обратно - снова на флешке появились.

Откуда и куда тащу вирус? С флешки на комп или с компа на флешку?

[olejah]

Да, так и думал, быстро они не уходят

- Сделайте лог полного сканирования МВАМ

[Baz1k]

Сделал.

[olejah]

Удалите в МВАМ -

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.

Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken.
C:\RECYCLER\S-1-5-21-0551576609-7402243513-879434063-7095\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-4958375535-2918065625-329903807-0642\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-1789755270-6011387121-082499437-1387\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-1881404547-0553789710-680897997-2686\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.

[Baz1k]

Готово.

[Baz1k]

Опять всё на месте

[olejah]

Сделайте лог ComboFix

[Baz1k]

Сделал.

[olejah]

Поудалял он всего на славу. Что-нибудь осталось?

[Baz1k]

В процессах ничего не видать. Понаблюдаю до вечера и отпишусь

[Baz1k]

И опять были замечены в процессах!

Еще раз ComboFix запустил.

[olejah]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\Администратор\Application Data\ltzqai.exe
c:\windows\system32\72.exe

Driver::

NetSvc::

Folder::


Registry::



FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Baz1k]

Сделал.

[olejah]

Как сейчас? Восстановление системы недеюсь отключили?

[Baz1k]

Пока вроде тихо... Восстановление давно отключено.

Наблюдаю..

[thyrex]

Удалите ComboFix