» Помощь при лечении компьютера от вирусов

Доброе время суток. И снова я с просьбой о лечении. Компьютер коллеги. Windows XP.
Симптомы болезни: не открываются сайты антивирусных программ, CureIt! тоже не запустился. Файл hosts нормальный.
Диагностика производилась удаленно.
Вот логи AVZ (virusinfo_syscure.zip) + RSIT http://rghost.net/3428581
Заранее спасибо.

Mushroomer
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if BC_ServiceKill(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Documents and Settings\Яна\Local Settings\Application Data\CyberDefender\cdmyidd.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyn58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuk80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpf58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnf35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmm37.sys','');
QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winec71.sys','');
QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll','');
QuarantineFile('c:\documents and settings\Яна\Мои документы\downloads\qrc49b9x.exe','');
QuarantineFile('c:\documents and settings\Яна\Мои документы\downloads\qrc49b9x (1).exe','');
QuarantineFile('c:\documents and settings\Яна\Мои документы\downloads\7yvvd2vb.exe','');
BC_ServiceKill('Winyn58');
BC_ServiceKill('Winwd82');
BC_ServiceKill('Winuk80');
BC_ServiceKill('Winpf58');
BC_ServiceKill('Winnf35');
BC_ServiceKill('Winmm37');
BC_ServiceKill('winmgt32k');
BC_ServiceKill('Winec71');
BC_ServiceKill('sysvideo32');
DeleteFile('c:\documents and settings\Яна\Мои документы\downloads\7yvvd2vb.exe');
DeleteFile('c:\documents and settings\Яна\Мои документы\downloads\qrc49b9x (1).exe');
DeleteFile('c:\documents and settings\Яна\Мои документы\downloads\qrc49b9x.exe');
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winec71.sys');
DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmm37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnf35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpf58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuk80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyn58.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

Здравствуйте, у меня такая же проблема как и в предыдущем запросе. Не заходит на сайты антивирусных программ. Также невозможно установить касперского, пишет, что возможно система заражена. Дня 4 назад вставил в комп левую флешку с работы, очевидно занёс какую то хрень. Теперь данные на всех флешках, которые вставляю блокируются, появляются левые файлы. Загубил таким образом все фотки с карты памяти на телефоне. Стоял нод32, но без обновленных баз (месяца 4-5 назад последний раз обновил) он оказался бессилен. Вследствие этого был вчера мною удалён. Также система стала намного медленнее. hosts в норме. Посмотрите что можно сделать. Логи:

http://rghost.ru/3492001 - log.txt
http://rghost.ru/3492032 - info.txt
http://rghost.ru/3492057 - virusinfo_syscure.zip

Innomoramento

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\keylog.txt');
QuarantineFile('C:\WINDOWS\system32\aycxvj.exe','');
DeleteFile('C:\WINDOWS\system32\aycxvj.exe');
QuarantineFile('C:\WINDOWS\system32\pfcefi.exe','');
DeleteFile('C:\WINDOWS\system32\pfcefi.exe');
QuarantineFile('C:\WINDOWS\system32\kurkqy.exe','');
DeleteFile('C:\WINDOWS\system32\kurkqy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Готово.
Полученный ответ:
Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-97236823]                
    newvirus@kaspersky.com
    Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

aycxvj.exe - Packed.Win32.Krap.hr
kurkqy.exe - Trojan.Win32.Jorik.Shiz.dd
pfcefi.exe - Trojan.Win32.Jorik.Shiz.cw

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.
С уважением, Лаборатория Касперского

Новые логи:
http://rghost.ru/3493549 - log.txt
http://rghost.ru/3493559 - virusinfo_syscure.zip

Innomoramento
Выполните скрипт:

Код: begin
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

KIS 11.0.2.556 нашол Trojan.Win32.Agent.gidd путь C:\Windows\Temp\Execute\execute.exe опастность высокая, предлогает лечить с перезагрузкой, фаил до перезагрузки удаляет но при следующей загрузки системы фаил снова появляется и антивирус начинает снова писать что найден вирус и снова предлогает лечить с перезагрузкой проделав личение снова все повторяется. В папке Temp появляется папка Execute содержащая такие файлы execute.exe(123KB), cfg(4KB), 8(977KB), 1(160KB) у последних трех файлов нет расширения. Как избавится от этой заразы?

P.S: Система Windows 7

kostyamks
Выполните требования, описанные в шапке этой темы.

gjf
Не помогло

kostyamks
Логи где?

thyrannosaurus

Вот логи из папки => rsit

kostyamks
Логи AVZ где?

Подскажите, а если перед сканированием Dr.Web CureIt полностью отключить Касперского (и Инет на всякий случай), то можно обойтись без загрузки Винды в безопасном режиме?

thyrannosaurus
Вот логи из AVZ virusinfo_syscure.zip

Svetikk007, крайне желательно проверяться из безопасного режима. А в чем сложность?

kostyamks

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\srvis\servis.exe','');
TerminateProcessByName('c:\windows\temp\execute\execute.exe');
QuarantineFile('c:\windows\temp\execute\execute.exe','');
DeleteFile('c:\windows\temp\execute\execute.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

thyrannosaurus

Цитата:

Выполните скрипт в AVZ

Код:begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\srvis\servis.exe','');
TerminateProcessByName('c:\windows\temp\execute\execute.exe');
QuarantineFile('c:\windows\temp\execute\execute.exe','');
DeleteFile('c:\windows\temp\execute\execute.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Не помогло, вот что происходит в самом начале работы скрипта.



Если переустановить ОС проблема устранится?

kostyamks

Первый скрипт в таком виде используйте

Выполните скрипт в AVZ

Код: begin
QuarantineFile('C:\Windows\system32\srvis\servis.exe','');
TerminateProcessByName('c:\windows\temp\execute\execute.exe');
QuarantineFile('c:\windows\temp\execute\execute.exe','');
DeleteFile('c:\windows\temp\execute\execute.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

thyrannosaurus
Спасибо за скрипт, файлы удаляются компьютер перезагружается НО после перезагрузки Trojan.Win32.Agent.gidd как чувствовал себя в отличном состоянии так и продолжает "почивать на лаврах". Караул что это за херня и как ее вывести??? Через карантин KIS 11.0.2.556 еще 07.12.2010 в 9:00 отправил фаил execute.exe до сих пор от ЛК тупой мороз.

thyrannosaurus
ЕСЛИ ПЕРЕУСТАНОВИТЬ СИСТЕМУ ЭТО РЕШИТ ПРОБЛЕМУ???

kostyamks

Автоответ с номером KLAN приходил? Если да, номер сообщите

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

kostyamks

Логи нужно присылать на форум, а не в личку

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код: KillAll::

File::
c:\windows\system32\srvis\servis.exe

Driver::
Init Servis

Folder::
c:\windows\system32\srvis

Registry::

FileLook::

DirLook::

thyrannosaurus
Наконец то троянчик ушел на покой.
Вот лог ComboFix.txt
Проверь пожалуйста все ли нормально в логе ComboFix, судя по Касперскому все ok и в папке Temp больше никто не прописывается.
От ЛК никаких новостей.

Спасибо огромное за выделенное для меня время и такую полезную помощь.

Проблема http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=620#14
Лекарство http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=620#15

только вчера смог сделать указанные действия. Во время выполнения первого скрипта компьютер не перезагрузился. SP3 поставил. Во время установки было предупреждение о проблемах (невозможности найти или записать файл atapy.sys) файл был пропущен.

Карантин почему-то был пустой

Вот новые логи http://rghost.net/3537121

thyrannosaurus
Подскажите, у этой программы есть офф. сайт ПО обновляется? Я имею ввиду ComboFix?

setwolk
Скачал ТУТ ссылку дал tyrannosaurus у меня обновился автоматом сам в окне программы.

kostyamks
Спасибо!

kostyamks
Плохого не видно

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

Mushroomer
Пофиксите в HiJack

Код: R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - ~83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - ~09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - ~855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

thyrannosaurus
Все сделал. combofix.exe имхо не отработал. Сначала не смог поставить Windows recovery console, затем обрушил систему в BSOD.
Вот новые логи http://rghost.net/3549509
Проблема сохранилась: антивирус не ставится, на сайты антивирусных компаний зайти нельзя.
Карантин смогу отправить только сегодня поздно вечером.

Есть предложения по поводу дополнения шапки, но скажу о них в специальной теме.

Mushroomer

По ссылке выдает

Цитата:

Вам запрещено действие

Пробуйте лог ComboFix сделать в безопасном режиме

Mushroomer

Цитата:

антивирус не ставится, на сайты антивирусных компаний зайти нельзя.

Похоже на вирус Kido. Хорошо помогает утилита KidoKiller от Касперского.