"IE - обнаружена ошибка" и пр.

[sasa902]

Доброго времени суток!
При старте ПК появляется сообщение об ошибке в IE, а потом Avira сообщает о файлах типа dq[1].exe, hdcd.exe с троянами и ms2[1].exe, hddd.exe с бэкдорами.
Лечение утилитами от Dr. Web и Касперского не помогло. :-(
Логи прилагаю.

[sasa902]

В соответствии с другой редакцией правил обновляю логи.
Вопрос: п.2 Диагностики: после подключения к Интернету штатный антивирус выключать? Я следовал правилам буквально и не отключал. Новые логи прилагаю.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\86.exe','');
 QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\60.exe','');
 QuarantineFile('C:\WINDOWS\system32\55.exe','');
 QuarantineFile('C:\WINDOWS\system32\47.exe','');
 QuarantineFile('C:\WINDOWS\system32\44.exe','');
 QuarantineFile('C:\WINDOWS\system32\33.exe','');
 QuarantineFile('C:\WINDOWS\system32\27.exe','');
 QuarantineFile('C:\WINDOWS\system32\13.exe','');
 QuarantineFile('C:\WINDOWS\system32\11.scr','');
 QuarantineFile('C:\WINDOWS\system32\03.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.exe','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
 DeleteService('PlugPlayCM');
 TerminateProcessByName('c:\windows\mscmtl32.exe');
 QuarantineFile('c:\windows\mscmtl32.exe','');
 TerminateProcessByName('c:\windows\ggdrive32.exe');
 QuarantineFile('c:\windows\ggdrive32.exe','');
 DeleteFile('c:\windows\ggdrive32.exe');
 DeleteFile('c:\windows\mscmtl32.exe');
 DeleteFile('C:\WINDOWS\system32\serivces.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Device Manager');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('H:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\01.exe');
 DeleteFile('C:\WINDOWS\system32\03.exe');
 DeleteFile('C:\WINDOWS\system32\11.scr');
 DeleteFile('C:\WINDOWS\system32\13.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\33.exe');
 DeleteFile('C:\WINDOWS\system32\44.exe');
 DeleteFile('C:\WINDOWS\system32\47.exe');
 DeleteFile('C:\WINDOWS\system32\55.exe');
 DeleteFile('C:\WINDOWS\system32\60.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11); 
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[sasa902]

Доброго времени суток!
Всё выполнил, новые логи прилагаю.

[миднайт]

Запакуйте файл c:\WINDOWS\system32\wtfm.exe в архив с паролем virus и пришлите по верхней ссылке Прислать карантин.
Удалите в MBAM

Код:

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\83.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\wtfm.exe (Trojan.Dropper) -> No action taken.

c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\12KJPDZS\282[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\12KJPDZS\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\12KJPDZS\z[2].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\12KJPDZS\z[3].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2LFMFP8H\nnn[1].exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2LFMFP8H\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2LFMFP8H\z[2].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\FD61YK03\282[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\FD61YK03\d4[1].exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\FD61YK03\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\O1OF2HI1\282[1].gif (Extension.Mismatch) -> No action taken.
h:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.

Повторите лог mbam.

[sasa902]

Архив отправил, лог прилагаю (тот, который получил после удаления).

[миднайт]

Систему обновляйте. Что с проблемами?

[sasa902]

Спасибо за оперативную помощь!
Похоже на то, что проблемы "притухли". Стучу по дереву! :-)
Ещё раз просканировал MBAMом, он ничего не нашёл.
Завтра ещё понаблюдаю.
SP3 и другие обновления безопасности установил.
Ещё раз спасибо Вам!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 49
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.wwz ( DrWEB: Trojan.Inject.28599, BitDefender: Trojan.Generic.5746978, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
  2. c:\\windows\\mscmtl32.exe - Backdoor.Win32.IRCBot.sso ( DrWEB: Trojan.Inject.28193, BitDefender: Worm.Generic.317704, NOD32: Win32/Oscarbot worm, AVAST4: Win32:Malware-gen )
  3. c:\\windows\\system32\\01.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  4. c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.cr ( DrWEB: BackDoor.Siggen.39588, BitDefender: Trojan.Generic.5705866, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  5. c:\\windows\\system32\\11.scr - Backdoor.Win32.IRCBot.ssp ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.KDV.163566, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Downloader-GFP [Trj] )
  6. c:\\windows\\system32\\13.exe - Backdoor.Win32.Floder.cr ( DrWEB: BackDoor.Siggen.39588, BitDefender: Trojan.Generic.5705866, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  7. c:\\windows\\system32\\27.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  8. c:\\windows\\system32\\33.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  9. c:\\windows\\system32\\44.exe - Backdoor.Win32.Floder.cr ( DrWEB: BackDoor.Siggen.39588, BitDefender: Trojan.Generic.5705866, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  10. c:\\windows\\system32\\47.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  11. c:\\windows\\system32\\55.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  12. c:\\windows\\system32\\60.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  13. c:\\windows\\system32\\64.exe - Backdoor.Win32.Floder.cr ( DrWEB: BackDoor.Siggen.39588, BitDefender: Trojan.Generic.5705866, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  14. c:\\windows\\system32\\86.exe - Backdoor.Win32.Floder.ci ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.314078, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
  15. \\wtfm.exe - Backdoor.Win32.IRCBot.ssp ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.KDV.163566, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Downloader-GFP [Trj] )