i66n6r1j1k2.exe , gwdrive.exe , msvmiode.exe, ltzqai.exe и прочее. Помогите!

[LighT]

Здраствуйте! Прошу, помогите избавиться от i66n6r1j1k2.exe , gwdrive.exe , msvmiode.exe ,ltzqai.exe и от числовых экзешников!

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление


Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);    
 TerminateProcessByName('C:\WINDOWS\system32\msvmiode.exe');
 TerminateProcessByName('C:\WINDOWS\gwdrive32.exe');     
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3757327527-3306441273-589212069-1806\csisf.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-3757327527-3306441273-589212069-1806\csisf.exe');
 QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\oekx.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\oekx.exe');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');     
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
 QuarantineFile('C:\WINDOWS\system32\26.exe','');
 QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\84.exe','');
 DeleteFile('C:\WINDOWS\system32\84.exe');
 QuarantineFile('C:\WINDOWS\system32\85.exe','');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
 DeleteFile('C:\WINDOWS\system32\85.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','Tnawy');
 RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

пофиксите hijackthis следующие строчки:

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\gwdrive32.exe
O4 - HKCU\..\Run: [Tnawy] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\gwdrive32.exe

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.

Сделайте новые логи.

[LighT]

Выполнил скрипт.
Отправил архив.

[thyrex]

1. Сделайте лог ComboFix

2. Сделайте лог полного сканирования МВАМ

[LighT]

thyrex, ComboFix скачивается на 99.9% со всех указанных источников, и выдает ошибку!
Пока выполняю полноге сканирование МВАМ
------------------------------
Скачать ComboFix по прежнему не удается!
Во время сканирования MBAM пропали надписи (везде были чистые поля) сохранил лог в слепую...пришлось перезагружаться.
------------------------------
Может мне стоит форматнуть С:..переустановить ОС и начать с нуля?
Вирус появляется, только если имеется подключение к интернету, если же оно отсуцтвует - все замечательно...
Вирус сразу съедает звуковые драйвера ;(

[thyrex]

Установите все новые обновления для Windows

Без этого сетевого червя не победить

[LighT]

И сново Здравствуйте!
Вчера, мою систему окончательно съели и мне ничего не оставалось кроме как все почистить и поставить ОС по новой...
После устаноки я обновил ОС с местного ресурса(Windowsupdate.tomsk.ru)..пока обновлялось, ничего лишнего в диспетчере задач не болбалось..
Дальше я зашел в безопастный режим и запустил полное сканирование в CureIt. Сканирование показало, что все чисто, но я в этом не совсем уверен, по этому сделал новые логи.

ЗЫ. После обновления windows появилось куча папок и файлов. До обновления вес папки Windows составлял ~2.25 Гб...после обновления 4.26гб(на диске 4.32гб) Что за аномалия?

Прошу, помогите!!

[Nikkollo]

Здравствуйте.

Выполните скрипт в AVZ:

Код:

begin
ExecuteWizard('TSW',2,2,true);
end.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

[LighT]

Вот..

[Nikkollo]

Пройдите по указанным в avz_log.txt ссылкам и обновите Adobe Flash Player и Java.

Лог старый прикрепили. Имел в виду - повторите только пункт 2 раздела "Диагностика" правил и приложите virusinfo_syscheck.zip.

[LighT]

Извиняюсь...
Все обновил.

[Nikkollo]

Подозрительного не обнаружил.

[LighT]

Спасибо всем за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\admin\\application data\\ltzqai.exe - Trojan-Downloader.Win32.Murlo.ixu ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Kazy.6729, AVAST4: Win32:FakeSysdef-J [Trj] )
  2. c:\\documents and settings\\admin\\application data\\oekx.exe - Trojan-Downloader.Win32.Murlo.izf ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.95223, AVAST4: Win32:FakeSysdef-J [Trj] )
  3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1417\\systm.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5967323, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Malware-gen )
  4. c:\\recycler\\s-1-5-21-3757327527-3306441273-589212069-1806\\csisf.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5965569, AVAST4: Win32:Malware-gen )
  5. c:\\windows\\gwdrive32.exe - Net-Worm.Win32.Kolab.pzc ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.KD.95179, AVAST4: Win32:Malware-gen )
  6. c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.frp ( DrWEB: Trojan.Siggen2.15595, BitDefender: Trojan.Generic.5277162, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Kryptik-WJ [Trj] )
  7. c:\\windows\\system32\\26.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5965569, AVAST4: Win32:Malware-gen )
  8. c:\\windows\\system32\\64.exe - P2P-Worm.Win32.Palevo.bkir ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5965569, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
  9. c:\\windows\\system32\\84.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5965569, AVAST4: Win32:Malware-gen )
  10. c:\\windows\\system32\\85.exe - Trojan.Win32.Genome.noam ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5965569, AVAST4: Win32:Malware-gen )