Что-то подцепил

[egils]

Прошу о помощи.

Не запускаетса ни NOD, ни hijackthis, ни AVG, ни AVZ. Просканировал последним cureit загрузившись с CD WIN PE, он нашел WIN32.HLLM.Beagle, удалил, но проблема осталась, кто му же работа системы мне не нравится. Помогите !

[edde]

Скачайте полиморфный авз http://files.myopera.com/myedde/AV/game.zip попробуйте загрузиться в безопасном режиме, сделайте логи.

[egils]

Скачайте полиморфный авз http://files.myopera.com/myedde/AV/game.zip попробуйте загрузиться в безопасном режиме, сделайте логи.

Логи :

Загрузившись с CD WIN PE

Загрузившись нормально

Забыл добавить. Находящиеся на жестком NOD, hijackthis и прочие не запускаютса и при загрузке с CD

[Matias]

Вы прикрепили не те логи. Внимательно прочитайте правила. Делать логи из под Win PE бесполезено.

[egils]

Загрузитсьа в safe mode не могу

Скачать hijackthis не могу

Переименовать hijackthis не могу

Обновить AVZ не могу

[egils]

Rsit скачал и запустил

[edde]

Здравствуйте.

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\documents and settings\administrator\application data\drivers\winupgro.exe');TerminateProcessByName('c:\documents and settings\administrator\application data\m\flec006.exe');TerminateProcessByName('c:\windows\wintems.exe');QuarantineFile('C:\WINDOWS\Installer\{E32B4F2B-5CED-45F1-8B94-55394553F1F0}\dbibl.chm','');QuarantineFile('C:\NISSAN\CDSET.exe','');QuarantineFile('C:\NISSAN\32copy.exe','');QuarantineFile('c:\0d6597ea5461fe81bbde59a83bf1\wgasetup.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv38.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winio40.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg73.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys','');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');QuarantineFile('C:\WINDOWS\system32\crypserv.exe','');QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');QuarantineFile('C:\WINDOWS\wintems.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe','');QuarantineFile('c:\documents and settings\administrator\application data\drivers\winupgro.exe','');QuarantineFile('c:\windows\wintems.exe','');QuarantineFile('c:\documents and settings\administrator\application data\m\flec006.exe','');DeleteFile('c:\documents and settings\administrator\application data\m\flec006.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');DeleteFile('C:\WINDOWS\wintems.exe');DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys');DeleteFile('c:\0d6597ea5461fe81bbde59a83bf1\wgasetup.exe');DeleteFile('C:\NISSAN\32copy.exe');DeleteFile('C:\NISSAN\CDSET.exe');DeleteFile('C:\WINDOWS\system32\srosa2.sys');DeleteService('sK9Ou0s');DeleteService('Winvb51');DeleteService('Winqv38');DeleteService('Winjo51');DeleteService('Winio40');DeleteService('Winbg73');DeleteService('uti3otqy');DeleteService('PavSRK.sys');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');BC_DeleteFile('C:\WINDOWS\system32\PavSRK.sys');BC_DeleteFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winio40.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjo51.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqv38.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');BC_Activate;ExecuteRepair(6);ExecuteRepair(19);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте в архиве с паролем virus на myedde <at> operamail.com

Повторите логи

Edited December 6, 2009 by edde

[egils]

Отпрвил. Большое спасибо. Но антивирусные программы не запускаются. Так должно быть ?

[edde]

Карантин пока не приехал попробуйте выложить на файлообменник, программы должны бы запускаться, повторите логи.

[egils]

Логи сейчас сделаю, но и после выключения и включеня машины я не могу запустить не hijаcktis, не обычный AVZ и так далее. В папке \documents and settings\administratior\application data\ остались папки m\ и drivers\ . В первой из них папка shared\ и фаилы data.oct, list.oct и srvlist.oct, во второй - папка downld\ и в ней фаилы .exe названия которых состоят из шести цифр.

[egils]

логи

Hijackthis не запускается и переименованный.

[egils]

Скачал заново hijackthis - работает, вот лог

Похоже вирус испортил все раннее использованные антивирусные программы - так может быть?

Safe mode не работает

[Matias]

1. Скачайте обычный AVZ заново. Запустите, выберите Файл - Восстановление системы, отметьте п. 10, нажмите "Выполнить отмеченные операции". Попробуйте загрузиться в безопасном режиме.

2. Вполне возможно, что червь повредил защитные программы. После окончания лечения переустановите их.

Edited December 7, 2009 by Matias

[egils]

В логе hijackthis я видел записи, ссылающиеся на фаилы вируса. Их не нужно убрать ? И что делать с папками m\ и drivers\ ?

[edde]

Здравствуйте.

Выполните скрипт авз

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\crypserv.exe','');QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg73.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winio40.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv38.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe','');QuarantineFile('C:\WINDOWS\regedit','');QuarantineFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009664.exe','');QuarantineFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009663.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll','');QuarantineFile('C:\WINDOWS\mdelk.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\win166.tmp.exe','');QuarantineFile('C:\WINDOWS\WinCtrl32','');QuarantineFile('C:\WINDOWS\WinCtrl32.dll','');QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\~DFA2CE.tmp','');DeleteFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009663.exe');DeleteFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009664.exe');DeleteFile('C:\WINDOWS\regedit');DeleteFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe');DeleteFile('C:\WINDOWS\mdelk.exe');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\win166.tmp.exe');DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\~DFA2CE.tmp');DeleteFile('C:\WINDOWS\WinCtrl32');DeleteFile('C:\WINDOWS\WinCtrl32.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winqv38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winjo51.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winio40.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');DeleteService('srosa');DeleteService('Winbg73');DeleteService('Winio40');DeleteService('Winjo51');DeleteService('Winqv38');DeleteService('Winvb51');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(12);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Пофиксите в HJT следующие строчки

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe			Nasty (2.26 / 5.00)O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Administrator\Application Data\m\flec006.exeO20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\WinCtrl32

Пришлите карантин, прошлый не пришел. Или проверьте сами на http://www.virustotal.com/ru/ и сообщите результат

Edited December 8, 2009 by edde

[egils]

Проверка карантина на вирус тотал :

__www.virustotal.com_ru_analisis_084942d82469681c958a796b4.pdf

ЛОГ hijackthis (online сканеры я викинул и потом лог пофиксил)

hijackthis.log

Папки m\ и drivers\ удалять или нет ?

__www.virustotal.com_ru_analisis_084942d82469681c958a796b4.pdf

hijackthis.log

[egils]

А вот что в этих папках

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

[edde]

Здравствуйте, папки можете удалить.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Как самочувствие больного?

[egils]

Самочуствие больного ближе к хорошо чем плохо. NOD(лицензионный) после переустановки заработал и нашел еще (я не говорю о карантинах, которые я все потом поудалял). Советованный ВАМИ (со всеми большими буквами) Malwarebytes' Anti-Malware я поставлю, но если NOD обноружил и удалил намного больше чем обновленный AVZ, то мое доверие к нему восстонавливается.

P.S Эта мразь позакрывала и сервисы - Security service, Automatic updates, и еще что-то. Файрвол Мастдая я так и востановил. Температура процессора на холостом ходу держится около 45-47 и это похоже на хорошо.

P.S.S. Сейчас еще одну-другую программу снесу, потом поставллю заново, сделаю дефрагментацию и потом отпишусь (с логами)

На сегодня ВСЕМ (со всеми большими буквами) ОГРОМНОЕ СПАСИБО !!!

I'll be back !