Что то с системой

**Михаил90** · 23 августа, 2008

Проблема:Вчера касперский KIS7 обнаружил у меня в системных файлах троян, в названии было слово mutant.

И предложил его удалить,я удалил и сразуже компьютер самостоятельно перезагрузился.

После этого касперский перестал запускаться,даже после переустановки антивируса.

Установил nod32.

Теперь на панели выскакивает окно с надписью "Your computer is ifected".

Подскажите что теперь делать,хотябы как избавиться от этого сообщения.

Вот собственно лог,некоторые программы не смог выключить.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:21:56, on 23.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Boot mode: Normal

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

F:\WINDOWS\system32\nvsvc32.exe

F:\WINDOWS\Explorer.EXE

F:\Program Files\Launchy\Launchy.exe

F:\Program Files\A4Tech\Mouse\Amoumain.exe

F:\WINDOWS\Mixer.exe

F:\WINDOWS\system32\RUNDLL32.EXE

F:\WINDOWS\system32\buritos.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

F:\Program Files\DAEMON Tools\daemon.exe

E:\games\steam\steam.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

D:\Интернет\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll

F3 - REG:win.ini: run=

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\program files\google\googletoolbar1.dll

O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - F:\Program Files\WebMoney Advisor\wmadvisor.dll

O4 - HKLM\..\Run: [Launchy] F:\Program Files\Launchy\Launchy.exe

O4 - HKLM\..\Run: [Vistadrv] F:\Program Files\VIPHD\vsdrv.exe

O4 - HKLM\..\Run: [WheelMouse] F:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [XP SecurityCenter] "F:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide

O4 - HKLM\..\Run: [buritos] buritos.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [DAEMON Tools] "F:\Program Files\DAEMON Tools\daemon.exe" -lang 1049

O4 - HKCU\..\Run: [steam] "e:\games\steam\steam.exe" -silent

O4 - HKCU\..\Run: [swg] F:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [braviax] F:\WINDOWS\system32\braviax.exe

O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] F:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] F:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] F:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] F:\Program Files\Punto Switcher\ps.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - F:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - F:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - F:\Program Files\WebMoney Advisor\wmadvisor.dll

O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - F:\Program Files\WebMoney Advisor\wmadvisor.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - F:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - F:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O20 - AppInit_DLLs: karina.dat

O20 - Winlogon Notify: WinCtrl32 - F:\WINDOWS\SYSTEM32\WinCtrl32.dll

O23 - Service: Windows Audio AudioSrvose (AudioSrvose) - Unknown owner - F:\WINDOWS\

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - F:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - F:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - F:\WINDOWS\system32\imapi.exe

O23 - Service: Служба сообщений MessengerWebClient (MessengerWebClient) - Unknown owner - F:\WINDOWS\

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - F:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\NERO7U\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Служба коррекции ошибок протокола TCP (NetLogSrv) - Unknown owner - F:\WINDOWS\system32\drivers\svchost.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - F:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - F:\WINDOWS\system32\sessmgr.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола RDSessMgrMSIServer (RDSessMgrMSIServer) - Unknown owner - F:\WINDOWS\

O23 - Service: Локатор удаленного вызова процедур (RPC) RpcLocatorAlerter (RpcLocatorAlerter) - Unknown owner - F:\WINDOWS\

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - F:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)

O23 - Service: Служба загрузки изображений (WIA) stisvcERSvc (stisvcERSvc) - Unknown owner - F:\WINDOWS\

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - F:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - F:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - F:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 8609 bytes

virusinfo_syscheck.zip

**ТроПа** · 23 августа, 2008

XPSecurityCenter попробуйте деинсталировать, как обычную программу.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('f:\windows\system32\buritos.exe');QuarantineFile('karina.dat','');QuarantineFile('F:\WINDOWS\system32\braviax.exe','');QuarantineFile('F:\Documents and Settings\Михаил\Рабочий стол\vqifjl.sys','');QuarantineFile('F:\WINDOWS\System32\drivers\Winxb60.sys','');QuarantineFile('F:\WINDOWS\System32\drivers\Winsv58.sys','');QuarantineFile('F:\WINDOWS\System32\drivers\Winnq25.sys','');QuarantineFile('F:\WINDOWS\System32\drivers\Wincf36.sys','');QuarantineFile('F:\WINDOWS\System32\drivers\Winbd02.sys','');QuarantineFile('F:\WINDOWS\system32\drivers\svchost.exe','');QuarantineFile('F:\WINDOWS\system32\WinCtrl32.dll','');QuarantineFile('f:\windows\system32\buritos.exe','');DeleteFile('f:\windows\system32\buritos.exe');DeleteFile('F:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('F:\WINDOWS\system32\drivers\svchost.exe');DeleteFile('F:\WINDOWS\System32\drivers\Winbd02.sys');DeleteFile('F:\WINDOWS\System32\drivers\Wincf36.sys');DeleteFile('F:\WINDOWS\System32\drivers\Winnq25.sys');DeleteFile('F:\WINDOWS\System32\drivers\Winsv58.sys');DeleteFile('F:\WINDOWS\System32\drivers\Winxb60.sys');DeleteFile('F:\Documents and Settings\Михаил\Рабочий стол\vqifjl.sys');DeleteFile('F:\WINDOWS\system32\braviax.exe');DeleteFile('F:\WINDOWS\system32\karina.dat');BC_ImportAll;BC_DeleteSvc('NetLogSrv');BC_DeleteSvc('stisvcERSvc');BC_DeleteSvc('RpcLocatorAlerter');BC_DeleteSvc('RDSessMgrMSIServer');BC_DeleteSvc('MessengerWebClient');BC_DeleteSvc('AudioSrvose');BC_DeleteSvc('Winxb60');BC_DeleteSvc('Winsv58');BC_DeleteSvc('Winnq25');BC_DeleteSvc('Wincf36');BC_DeleteSvc('Winbd02');BC_DeleteSvc('vqifjl');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Затем

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip вышлите на адрес 54712@rambler.ru в письме укажите ссылку на тему.

2.Пофиксить в HijackThis следующие строчки

	F3 - REG:win.ini: run=

Повторите логи. Только выложите 2 разных лога АВЗ, а не одинаковых.

**Михаил90** · 23 августа, 2008

Всё сделал.

Вот новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

**ТроПа** · 23 августа, 2008

По карантину - F:\WINDOWS\system32\braviax.exe, f:\windows\system32\buritos.exe - Trojan-Downloader.Win32.Agent.abzk, F:\WINDOWS\system32\WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ays? F:\WINDOWS\system32\drivers\svchost.exe - новая разновидность.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('f:\windows\buritos.exe');DelWinlogonNotifyByKeyName('karina.dat');DelAutorunByFileName('karina.dat');DelWinlogonNotifyByFileName('karina.dat');DelWinlogonNotifyByKeyName('WinCtrl32.dll');DelAutorunByFileName('WinCtrl32.dll');DelWinlogonNotifyByFileName('WinCtrl32.dll');DeleteFile('f:\windows\buritos.exe');DeleteFile('F:\WINDOWS\system32\karina.dat');DeleteFile('F:\WINDOWS\System32\drivers\Winbe46.sys');DeleteFile('karina.dat');DeleteFile('WinCtrl32.dll');BC_ImportAll;BC_DeleteSvc('Winbe46');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи. Все 3 лога - 2 лога АВЗ и лог HJT.

**Михаил90** · 24 августа, 2008

Скрипт выполнил,выкладываю логи.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:49:42, on 24.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Boot mode: Normal

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\Program Files\Launchy\Launchy.exe

F:\Program Files\A4Tech\Mouse\Amoumain.exe

F:\WINDOWS\Mixer.exe

F:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

F:\Program Files\DAEMON Tools\daemon.exe

E:\games\steam\steam.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

F:\WINDOWS\system32\nvsvc32.exe

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\WINDOWS\system32\wuauclt.exe