Решена Кидо и компания

[Влачер]

Коллега по работе пожаловался, что какие то окошки на домашнем компе стали выскакивать. Стояла Авира ПСС, но оказалось, что её успешно съели (зонтик сложен и строка сканера в контекстном меню неактивна). Было заблокировано системное восстановление, cureit просто подвисал на месте и не работал. Начал с МБАМ- удалилось около 15 объектов - трояны, руткит, хвосты червя. После этого cureit запустился и нашёл ещё 8 шт. Потом через ливсиди запустил AVPTool-нашёл главного виновника, которого ни веб, ни МБАМ не видели. После этого установилась и заработала Авира. Системное восстановление восстановил через АВЗ(но галочку снял). В безопасном режиме комп не запускается, сообщает об ошибке и просит запустить последнюю удачную конфигурацию. Надо сказать, что стояла хрюша с непатченным СП-1.Пришлось поставить СП3 и патчи 44,87. Ещё заметил, что система долго завершает работу- по 3-5 мин. Пока авз сканирует, кладу лог хиджака, коечто мне там не нравится, но авира со свежими базами ничего практически не нашла. Работоспособность интернета на проверял, хостфайл был размером более 4,5 Мб, сплошные абракозябры, просто взял и заменил файлом с другого компа.

 

[akok]

Система заражена. Ждем логи AVZ для комплексного лечения.

 

[Влачер]

Конечно же после такого зверинца можео ждать чего угодно. Логи

 

[Влачер]

Появлюсь завтра вечером. Забыл сказать, что менял explorer.exe/ У него дата изменения была как раз тогда, когда эта бодяга началась

 

[akok]

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\718eb4a6.exe,\\?\globalroot\systemroot\system32\4yjh6rg.exe,

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\fusservices.exe','');
 QuarantineFile('c:\windows\system32\srvany.exe','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys','');
 QuarantineFile('c:\program files\plugin.exe','');
 QuarantineFile('c:\windows\system32\718eb4a6.exe','');
 QuarantineFile('c:\windows\system32\4yjh6rg.exe','');
 DeleteFile('c:\windows\system32\4yjh6rg.exe');
 DeleteFile('c:\windows\system32\srvany.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys');
 DeleteFile('c:\program files\plugin.exe');
 DeleteFile('c:\windows\system32\718eb4a6.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteService('reset 5');
 DeleteService('imspqmn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив необходимо загрузить при помощи этой формы:
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

Добавлено через 15 секунд
Повторите логи.

 

[Влачер]

Пофиксил, скрипт выполнился без ошибок. Карантин отправил, правда он какой то жидки получился. Кладу пока хиджака, авз ещё работает
Одна штука осталась(а может и не одна)

 

[Влачер]

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.
bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini
Файлы в процессе обработки.
fusservices.exe
Вредоносный код в файле не обнаружен.
С уважением, Лаборатория Касперского

Вот ответ ЛК

Вот ещё ссылка http://windows-processes.thefile.net/tasks/char_F.html
Безопасный режим по прежнему не запускается

 

[icotonev]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Что с безопасный режим....?

 

[akok]

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: reset5 - C:\WINDOWS\

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

[Влачер]

После выполнения скрипта компьютер перезагрузится.
Что с безопасный режим....?

Натюрлих!!! Арбайтен!!!

 

[Влачер]

логи

 

[akok]

Чисто. Что с проблемами?

 

[Влачер]

Хозяева компа благодарны, интернет работает.Спасибо всему сообществу:victory::bye: