обнаружены вирусы Trojan.Win32.Patched.fr и Trojan.Win32.ВНО.isy

[sergey_09]

Добрый вечер. Несколько дней назад начались проблемы в работе компьютера. В начале, примерно раз в 2-3 часа, стала выскакивать сообщение "Improper shutdown during VGA clock setting", через 5 -10 секунд Винда выпадала в синий экран с ошибкой "BAD_POOL_CALLER" STOP:0X000000C2. Затем сообщения стали выскакиватьпостоянно, через 3-5 секунд, после загрузки WINDOWS, причём сообщения постоянно менялись:"Improper shutdown during VGA clock setting", "Gamma Tray CreateDC() Failed" и "Ошибка при попытке загрузить newdev.dll". После сообщения, через несколько секунд, синий экран с различными ошибками:"BAD_POOL_CALLER" STOP:0X000000C2 либо STOP:0X0000008E, иногда "SET_OF_INVALID_CONTEXT" STOP:0X00000030 и "DRIVER_CORRUPTED_MMPOOL" STOP: 0X000000D0.

CureIT, последней версии, при проверке системы в режиме SAVE MODE нечего не обнаружил. Затем просканировал AVP TOOL. AVP TOOL обнаружил 2 инфицированных файла: в каталоге SYSTEM32\sfcfiles.dll заражённый Trojan.Win32.Patched.fr и в SYSTEM32\042c40\eAPI.fne заражённый Trojan.Win32.ВНО.isy После окончания проверки AVP TOOL предложил удалить эти файлы т. к. лечение было не возможно. После удаления файлов, до перезагрузки, в папку SYSTEM32 был скопирован файл sfcfiles.dll взятый с другой машины. После перезагрузки просканировал AVP TOOL в ручном режиме, затем просканировал утилитой AVZ (скрипты 3 и 2) и HijackThis согласно правилам.

После удаления инфицированных файлов сбои в работе прекратились. Но в логах есть предупреждения о модификации запуска проводника и т. д. Возможно что-то ещё осталось? Нужна ли дополнительная чистка и восстановление системы или вирусы окончательно уничтожены?

логи AVP TOOL, AVZ и HijackThis прилагаю.

Надеюсь на быструю помощь.

avptool_syscheck.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

avptool_syscheck.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

[edde]

Здравствуйте

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\207BE0\848327.EXE','');QuarantineFile('C:\WINDOWS\system32\755A~1.SCR','');DeleteFile('C:\WINDOWS\system32\207BE0\848327.EXE');DeleteFile('C:\WINDOWS\system32\755A~1.SCR');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(16);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

Пофиксите в HJT строчки

O4 - Startup: is-66GKF.lnk = ?O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\207BE0\848327.EXE

Повторите логи

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[sergey_09]

Выполнил указанные скрипты, файлы карантина отправил на newvirus@kaspersky.com ещё 25 ноября, но до сих пор никакого ответа не получил. Есть ли смысл ждать ответа вообще?

В HJT пофиксил указанные строки, просканировал ещё раз AVZ и RSIT, логи прилагаю.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Здравствуйте.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Как самочувствие?

Архив карантина отправьте на myedde<at>operamail.com с темой письма карантин.

[sergey_09]

Добрый вечер.

После того, как выполнил скрипты AVZ и пофиксил указанные строки в HJT больше не одного сбоя или сообщений о ошибках не было.

Архив карантина AVZ отправил на указанный адрес.

Просканировал Malwarebytes , текст лога прилагаю.

Malwarebytes' Anti-Malware 1.41

Версия базы данных: 3263

Windows 5.1.2600 Service Pack 3

30.11.2009 23:40:30

mbam-log-2009-11-30 (23-40-30).txt

Тип проверки: Полная (C:\|D:\|E:\|)

Проверено объектов: 398540

Прошло времени: 48 minute(s), 47 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 1

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 0

Заражено файлов: 6

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.

C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> Quarantined and deleted successfully.

C:\WINDOWS\innounp.exe (Malware.Packer) -> Quarantined and deleted successfully.

D:\с флешки\IrfanView 4.10\russian\Russian.dll (Malware.Packer) -> Quarantined and deleted successfully.

D:\с флешки\программы\новое\Учёт трафика (передаваемых данных)\BWMeter 2'6'1 RU\Crk\Crk.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

E:\game smoll\скачанные\kkrieger\kkrieger\pno0001.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.

Как я понял Malwarebytes обнаружил ещё какую-то заразу в системе и на дисках.

Да, а что делать с файлами в карантине AVZ и Malwarebytes?

[edde]

Здравствуйте, повторите логи авз, проверьтесь онлайн http://www.eset.com/onlinescan/ если имеете такую возможность

[sergey_09]

Добрый день.

Сделал полную проверку онлайн на eset.com, сканер обнаружил много заражённых файлов. Я не стал их удалять и сейчас они в карантине. Прилагаю лог результатов работы сканера.

Повторил скрипты AVZ, логи прилагаю.

Странно, у меня был отключён автозапуск со сменных носителей, а сейчас опять сам по себе включился.

eset.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

eset.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Здравствуйте, в логах чисто как чувствуем себя? Если жалоб нет на этом можно и закончить, поаккуратнее с кряками, зло они :) .

[sergey_09]

Добрый вечер.

Огромное спасибо за помощь. Чувствуем себя в последнее время хорошо, сбоев и ошибок не было, жалоб нет, система работает стабильно. Наверное всё чисто.

Единственное, что хотелось бы узнать - как поступить с файлами находящимися в карантине AVZ, Malwarebytes и сканера ESET. С кряками и другими файлами с дисков D и E понятно, все подозрительные и ненужные удалю, а вот как быть с файлами с системного диска, в часности с папки system 32 находящихся в карантине: оставить всё как есть, восстановить файлы так как они не опасны или удалить?

Как лучше поступить, что вы посоветуете?

Заранее спасибо :bye1: .

[edde]

sergey_09

Если у вас нет каких либо особых причин хранить карантин у себя на диске, просто удалите его из папки авз.

Не болейте, будьте здоровы. :bye1:

Edited December 3, 2009 by edde