устал бороться с "csisf.exe" и его проявлениями,прошу помощи

[lawfactor]

вобщем почитав форум,видел много случаев с упоминанием сие чуда
проблемы стандартные,создаёт множество файлов по типу "01.ехе,34.ехе..."
так же появляется в c:\windows какойто gw***32.ехе и прописывается в реестре,названия не помню т.к. в данный момент удалён и компьютер находится в заблокированом состоянии AVZGuard без этого происходит создание *.ехе фаила в C:\Documents and Settings\Admin\Application Data
каторый запускается еже секундно и дублируется в процессах,что приводит к зависанию в итоге

[polword]

1.Профиксите в HijackThis

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\bowcav.exe','');
 QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2426742623-8496829266-697641802-9263\csisf.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\vytjq.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\oekx.exe,','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\oekx.exe,');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\vytjq.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2426742623-8496829266-697641802-9263\csisf.exe');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\bowcav.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- Поставте все последние обновления системы Windows - тут

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[lawfactor]

сделал все обновления в том числе и указанные Avz
отмечу,что после первой перезагрузки слетели некоторые драйвера
вот то что просили

[polword]

- Профиксите в HijackThis

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\47.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
 DeleteFile('C:\WINDOWS\system32\47.exe');
QuarantineFile('c:\WINDOWS\gjdrive32.exe','');
QuarantineFile('c:\documents and settings\Admin\husj.exe','');
QuarantineFile('c:\documents and settings\Admin\application data\oekx.exe','');
QuarantineFile('c:\documents and settings\Admin\application data\dbvwya2owwj1eyqq2abzdzvsnkwh3la2\csrss.exe','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\1612305.exe ','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\P78XP2HK\m[1].s','');
QuarantineFile('c:\documents and settings\all users\application data\sectaskman\csisf.exe.q_quarantine_34e8001_q','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JJ8WXSZ\nmobi[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JJ8WXSZ\x1863[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\0[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\0[2].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\four[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\nmobi[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\ww[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\four[2].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\four[3].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\r[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\x1863[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\Xfour[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\0[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\0[3].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\fifa[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\nmobi[1].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\pcxd[1].exe','');
QuarantineFile('c:\RECYCLER\s-1-5-21-2426742623-8496829266-697641802-9263\csisf.exe','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\2637528.exe','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\3534920.exe','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\3737134.exe','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\4428729.exe','');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\5919992.exe','');
QuarantineFile('c:\Temp\explorer.exe','');
 DeleteFile('c:\WINDOWS\gjdrive32.exe');
 DeleteFile('c:\documents and settings\Admin\husj.exe');
 DeleteFile('c:\documents and settings\Admin\application data\oekx.exe');
 DeleteFile('c:\documents and settings\Admin\application data\dbvwya2owwj1eyqq2abzdzvsnkwh3la2\csrss.exe');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\1612305.exe ');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\P78XP2HK\m[1].s');
 DeleteFile('c:\documents and settings\all users\application data\sectaskman\csisf.exe.q_quarantine_34e8001_q');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JJ8WXSZ\nmobi[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JJ8WXSZ\x1863[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\0[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\0[2].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\four[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\nmobi[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\ww[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\four[2].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\four[3].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\r[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\x1863[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\Xfour[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\0[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\0[3].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\fifa[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\nmobi[1].exe');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\pcxd[1].exe');
 DeleteFile('c:\RECYCLER\s-1-5-21-2426742623-8496829266-697641802-9263\csisf.exe');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\2637528.exe');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\3534920.exe');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\3737134.exe');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\4428729.exe');
 DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\5919992.exe');
 DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
 DeleteFile('c:\Temp\explorer.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 DeleteFileMask('c:\documents and settings\Admin\local settings\temporary internet files', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

- удалите в MBAM оставшееся из этого

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.


Заражённые файлы:
c:\WINDOWS\gjdrive32.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\husj.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\oekx.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\dbvwya2owwj1eyqq2abzdzvsnkwh3la2\csrss.exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\1612305.exe (Worm.Aurorun) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\P78XP2HK\m[1].s (Trojan.Agent) -> No action taken.
c:\documents and settings\all users\application data\sectaskman\csisf.exe.q_quarantine_34e8001_q (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JJ8WXSZ\nmobi[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JJ8WXSZ\x1863[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\0[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\0[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\four[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\nmobi[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8V00JYYR\ww[1].exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\four[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\four[3].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\r[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\x1863[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M2E0SNY1\Xfour[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\0[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\0[3].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\fifa[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\nmobi[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PDBJNDL0\pcxd[1].exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2426742623-8496829266-697641802-9263\csisf.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\umdmgr.log (IRCBot.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\2637528.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\3534920.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\3737134.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\4428729.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\5919992.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\Temp\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[lawfactor]

проблема вроде решена,никаких видемых признаков того чуда
но вот пропавшие драйвера,в особенности клавиатуры,смущают,пишу на экранной клаве,драйвер на железную устанавливаться отказывается,даже стандартный виндовый,код ошибки 19,а ещё невозможно отключить сетевое подключение,говорит оно чемто занято...если эти проблемы не относятся к поведению вирусов,то прошу прощения,буду ковырять дальше сам,а за избавление от того злодея огромное спасибо
карантин почемуто пустой создался
на всякий случай логи последних действий.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('fxsorsqk.sys','');
 DeleteFile('fxsorsqk.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip

[lawfactor]

карантин отправил
вот новый лог

[polword]

подозрительного нет.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[lawfactor]

Спасибо вам большое,как приятно в чистой системе
пойду благодарство делать

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\admin\\application data\\bowcav.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.106228, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
  2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.103849, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
  3. c:\\recycler\\s-1-5-21-2426742623-8496829266-697641802-9263\\csisf.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.19061, BitDefender: Worm.Generic.324924, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )