Вирус в perfc000.dat

[e_aleks]

День добрый.

Помогите, пожалуйста, избавиться от вируса. Компьютер стал постоянно лезть в интернет, drweb при проверке указал на Trojan.Proxy.1798 в файле perfc000.dat, но удалить его не смог, даже в Safe mode - файл тут же восстановился.
Проверка еще показала на временный фал, зараженный Trojan.Packed.49, который тоже не удаляется.
Запуск компьютера сегодня показал еще на заражение файла C:\WINDOWS\csrss.exe - инфицирован Trojan.PWS.LDPinch.1744 - вылечить тоже не удается.
Логи прикрепляю.

[drongo]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');
 QuarantineFile('C:\WINDOWS\svchоst.exe','');
 QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
 QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
 QuarantineFile('C:\WINDOWS\system32\odbcmr32.dll','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('c:\windows\csrss.exe','');
 QuarantineFile('c:\windows\515x.exe','');
 DeleteFile('C:\WINDOWS\system32\perfc000.dat');
 DeleteFile('C:\WINDOWS\system32\odbcmr32.dll');
 DeleteFile('C:\WINDOWS\svchоst.exe');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('c:\windows\515x.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9756........

[drongo]

Подкорректировал, ответ готов.

[e_aleks]

Скрипт выполнил.
После перезагрузки после входа в Windows выдается ошибка:
<Svhost.exe has encountered a problem and needs to close>
После неё выдается еще ошибка:
<Runtime error 216 at 0404615>
На всякий случай прикрепляю новые логи.

[drongo]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(9);
RebootWindows(true);
end.

После автоматической перегрузки может не быть рабочего стола .Надо нажать CRTL+ALT+DEL. В появившемся диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне выбора файла выбрать avz.exe и нажать OK.
выполнить скрипт :

Код:

begin
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

P.S. Не забудьте поменять пароли на всё
Кстати, ваш любимый : C:\WINDOWS\svchоst.exe
свежачёк : http://virusinfo.info/showpost.php?p...&postcount=156
Не удалились почему-то ссылки на него Очень странно ...

-

[e_aleks]

После выполнения первого скрипта и перезагрузки указанной ошибки не было и рабочий стол никуда не исчез. После выполнения второго скрипта ошибка снова появилась - рабочий стол остался на месте.

[drongo]

отключите др-веб и все остальные панельки . запустите скрипт :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchоst.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(9);
RebootWindows(true);
end.

логи делать только согласно тому что что написано между пунктом 7 и 8 правил , что тут не понятного ?

Сделайте пожалуйста новые логи.

[e_aleks]

Спасибо за помощь. После выполнения скрипта указанная ошибка исчезла.

логи делать только согласно тому что что написано между пунктом 7 и 8 правил , что тут не понятного ?

Моя вина, не до конца вначале осознал это требование. Сейчас DrWeb выгрузил, по возможности программы лишние закрыл.
Новые логи прилагаются.

[drongo]

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe
O21 - SSODL: odb_set - {DE49CEE3-A6BF-410F-B0A9-9A77E86D7A2D} - odbcmr32.dll (file missing)

[drongo]

Надо дочистить реестр .Вот описание подобной модификации:
http://www.sophos.com/virusinfo/analyses/trojspyul.html

Пришёл ответ от лаб Касперского :

Код:

avz00025.dta,
avz00027.dta - Rootkit.Win32.Delf.h

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

avz00026.dta

No malicious code was found in this file.

[e_aleks]

Следуя описаниям удалил из реестра разделы
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCE MGR\
HKLM\SYSTEM\CurrentControlSet\Services\mcemgr\
Остальных разделов, как и файла obdwk.sys не оказалось - похоже их удалил DrWeb в прошлый раз (именно этот вирус ловлю скорее всего в одном и том же месте второй раз, надеюсь и последний.).
Никаких ошибок при запуске сейчас не происходит, обращений к интернету тоже уже нет. DrWeb Spider вирусную активность больше не детектит.
Большое спасибо за помощь.

[e_aleks]

Решил я после лечения проанализировать откуда этот вирус попал ко мне на компьютер и как это предотвратить в последующем.
Нашел в корне диска С два очень подозрительных файла - подозрительных тем, что я их сам там не создавал, а также странными названиями.
DrWeb при проверке говорит, что эти файлы читые. Проверил онлайн Касперским, на один он сказал Trojan-Downloader.Win32.VB.akr другой по его мнению опять же чистый.
Но все-таки файл с названием 3445643.exe непонятно кем созданный вызывает очень плохие подозрения, подозреваю все-таки, что это вирус, который не детектит ни DrWeb, ни Касперский.
Вопрос же в том, можно ли с этот файлик как-то гарантированно проверить - уж очень сильно он мне не нравится. Оба файла у меня есть, могу выложить.

[drongo]

Выкладывать можно только по правилам по ссылке http://virusinfo.info/upload_virus.php?tid=9756 в архиве zip с паролем virus

вирусные аналитики посмотрят и будет вам счастье

[e_aleks]

Выложил по указанной ссылке в соответствии с правилами.

вирусные аналитики посмотрят и будет вам счастье

Очень надеюсь. А то я уже вплотную занялся установкой обновлений, настройкой файерволлов и антивирусов.

PS: Еще один вопросик. А можно ли еще проверить один сайт (ссылку пока не выкладываю). Сайт очень полезный, но есть подозрение, что на нем некоторое время жил злобный вирус (а может и живет - заходить как-то боязно). Просто раньше, когда я на него заходил - у меня компьютер хотел перегружаться. А потом появились проблемы с вирусами.

[Muffler]

PS: Еще один вопросик. А можно ли еще проверить один сайт (ссылку пока не выкладываю). Сайт очень полезный, но есть подозрение, что на нем некоторое время жил злобный вирус (а может и живет - заходить как-то боязно). Просто раньше, когда я на него заходил - у меня компьютер хотел перегружаться. А потом появились проблемы с вирусами.

Можна, только ссылку даваете не в кликательном виде, используйте тег [CODE].

[e_aleks]

Можна, только ссылку даваете не в кликательном виде, используйте тег [code].

Код:

http://all-transport.info

- есть подозрение, что какое-то время назад в заглавной странице жил троян.

[Muffler]

Ничего подозрительного я там не нашол.

[e_aleks]

Спасибо. Значит его оттуда уже извели.

[drongo]

Выложил по указанной ссылке в соответствии с правилами.


Очень надеюсь. А то я уже вплотную занялся установкой обновлений, настройкой файерволлов и антивирусов.

PS: Еще один вопросик. А можно ли еще проверить один сайт (ссылку пока не выкладываю). Сайт очень полезный, но есть подозрение, что на нем некоторое время жил злобный вирус (а может и живет - заходить как-то боязно). Просто раньше, когда я на него заходил - у меня компьютер хотел перегружаться. А потом появились проблемы с вирусами.

Лучше поздно чем никогда , фаэрвол- обязательно. Не компьютер , а склад гадости.
Эти 2 файла тоже удалить.
http://virusinfo.info/showpost.php?p...&postcount=160
ответ от аналитика :

Код:

Здравствуйте,

3445643.exe_

Этот файл повреждён.

temp44e.exe_ - Trojan-Downloader.Win32.VB.akr

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Юрий Несмачный
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/

http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
http://www.kaspersky.com/helpdesk.html - техническая поддержка



> Attachment: 070518_220002_virus1_464de9a25cc52.zip

[e_aleks]

drongo
Очень признателен за помощь.

Лучше поздно чем никогда , фаэрвол- обязательно. Не компьютер , а склад гадости.

В общем поставил Kaspersky Internet Security 6.0 - при первой проверке еще нашел скорее всего уже неактивный Trojan-PSW.Win32.LdPinch.byy и Trojan-Spy.Win32.Sters.ab Еще с какими-то целями был изменен файл hosts - нашел строку 127.0.0.1 (какое-то бессмысленное сочетание букв и цифр) - я её тоже потер. Насколько я понимаю эти трояны были опасны тем, что могут увести пароли с компьютера (или еще чем-то) - но вроде я их уже поменял.
Удивляет меня в этом только одно - как такое количество "зверей" попало на компьютер при включенном антивирусе и осталось незамеченным (антивирус обновлялся).

PS: Думаю чуть позже еще раз обращусь за помощью в лечении второго компьютера - а то, он тоже все время хочет подсоединиться к интернету которого нет, жутко тормозит, и часто вываливается в синий экран - DrWeb говорит, что он чистый.