снова wjdrive32.exe, vyre32.exe, vr.exe (продолжение)

[ZVERSKY]

Снова здравствуйте! Я вчера был у вас здесь, лечился от вирусов. После лечения всё было нормально (никаких вирусов, никаких подозрений). Сегодня утром включил комп, чтобы скачать какой-нибудь антивирус, и сразу всё стало по старому: рабочий стол изменился, комп тормозить стал, в диспетчере задач процессы "vyre32", "wjdrive32" и кроме них ещё другие появились. Комп без моего ведома стал подключаться к интернету.
Что происходит? Откуда они залезли или лезут? Что делать, если и сейчас лечение не поможет?

[ARMA9000]

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
 QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 QuarantineFile('C:\WINDOWS\system32\vyre32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vr.exe','');
 DeleteFile('C:\WINDOWS\system32\vr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vr');
 DeleteFile('C:\WINDOWS\system32\vyre32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
 DeleteFile('C:\WINDOWS\winstart.bat');
 DeleteFile('C:\WINDOWS\wjdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.

[ZVERSKY]

Хм... В папке quarantine у меня ничего нет
Логи-->

[ZVERSKY]

Что делать? Лечение не помогло! Они опять появились! Все те же самые симптомы! Я вообще никуда не лазил, только на рабочем столе находился и всё. Это произошло после нескольких перезагрузок. Теперь заново они создались wjdrive32.exe, vyre32.exe, vr.exe
P.S. снова выполнил скрипт теперь карантин появился. Запрошенный карантин прислал

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  QuarantineFile('C:\WINDOWS\system32\XP-5C8D62C7.EXE','');
 DeleteFile('C:\WINDOWS\system32\XP-5C8D62C7.EXE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-5C8D62C7');
 DeleteFile('C:\WINDOWS\system32\vyre32.exe');
 DeleteFile('C:\WINDOWS\wjdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[ZVERSKY]

файл quarantine.zip АВЗ создал, но в нём пусто, поэтому не вижу смысла его присылать, а при попытке создать архив вручную пишет, что "Процесс не может получить доступ к файлу, так как этот файл занят другим процессом."
Логи сделал, МВАМ тоже сделал

[polword]

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.


Заражённые файлы:
c:\documents and settings\Admin\hesc.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\vr.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\vyre32.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\B8HTP27A\ms[1].exe (Trojan.Scar) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\B8HTP27A\ver[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\B8HTP27A\war[1].gif (Extension.Mismatch) -> No action taken.
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.

- Сделайте повторный лог MBAM

[ZVERSKY]

Повторный лог сделал. После перезагрузке удалось сделать файл "quarantine.zip". Он уже закачан.

[polword]

чисто

[ZVERSKY]

Спасибо, если вдруг появится опять, то отпишусь

[ZVERSKY]

Снова. Все те же симптомы, я скрипт выполнил заново, они пропали. Появились опять после нескольких перезагрузок. Что теперь делать?

[thyrex]

Установите все новые обновления для Windows

И снова логи по правилам

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Trojan.Win32.Pincav.awiu ( DrWEB: Win32.HLLW.Autoruner.43155, BitDefender: Trojan.Generic.KD.112839, AVAST4: Win32:Trojan-gen )
  2. c:\\windows\\wjdrive32.exe - Net-Worm.Win32.Kolab.sbk ( DrWEB: Trojan.Inject.20559, BitDefender: Trojan.Generic.KD.113824, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )