Решена Не запускается AVZ (но запускатся полиморфный AVZ), HiJackThis, глючит Опера

[Sinderyshkin]

Компьютер долго загружается, не запускается AVZ, HijackThis, при запуске Оперы пишет, что отказано в доступе. Запустился полиморфный AVZ, прикладываю логи. Заранее спасибо!

 

[akok]

Avast5 + Avira + Online Solutions= оставьте что-то одно. Ad-Aware - точно необходимо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 SetServiceStart('aswArKrn', 4);
 SetServiceStart('ASFWHide', 4);
 QuarantineFile('D:\VK_grabber.exe','');
 QuarantineFile('C:\WINDOWS\system32\fqvrhy.exe','');
 QuarantineFile('C:\WINDOWS\system32\38a44fa0.exe','');
 QuarantineFile('C:\Documents and Settings\Егор\Application Data\Microsoft\Installer\{913A74A8-CDBA-11DB-B4DE-989A2C8B284C}\start.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\ASFWHide','');
 QuarantineFile('C:\WINDOWS\TEMP\aswArKrn.sys','');
 DeleteFile('C:\WINDOWS\TEMP\aswArKrn.sys');
 DeleteFile('C:\WINDOWS\TEMP\ASFWHide');
 DeleteFile('C:\WINDOWS\system32\38a44fa0.exe');
 DeleteFile('C:\WINDOWS\system32\fqvrhy.exe');
  DeleteService('aswArKrn');
  DeleteService('ASFWHide');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(20);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Повторите логи.

 

[Sinderyshkin]

akoK, спасибо! Выполнил все как вы написали, после выполнения скрипта стал запускаться AVZ. Карантин я отправил, выкладываю новые логи

 

[akok]

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[akok]

38a44fa0.exe - Backdoor.Win32.Shiz.aah (trojan.packed.189)

Добавлено через 5 часов 54 минуты 25 секунд
Пришёл результат анализа в карантине обнаружено:

Trojan.MulDrop.64715, Trojan.PWS.Ibank.183

 

[Sinderyshkin]

Выкладываю лог, сделанный ComboFix.
Как мне удалить эти трояны?
И нужно ли как то деинсталлипровать ComboFix?

 

[akok]

Не спешите, все будет

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
C:\Program Files\Common Files\jqyrg4inedzz13m

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::
C:\Documents and Settings\Егор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И сделайте лог OSAM

 

[Sinderyshkin]

Выполнил все как вы написали, за исключением лога OSAM.
Что-то стало нехило кушать интернет трафик, передаются какие то данные.

 

[ТроПа]

D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?

 

[Sinderyshkin]

D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?

D:\mink.pif - это полиморфный авз
В логе ничего не удалял.
Вопрос еще раз повторю почему стало интернет траффик так не хило жрать?

 

[akok]

Значит будем разбираться. Скачайте полную версию AVZ? обновите базы и повторите логи.

 

[Sinderyshkin]

Выручайте! С компьютером что-то не так, я его выключил и ушел на работу, а когда пришел и включил - при загрузке выскочила ошибка system32\service.exe с кодом 1073741819, после этого он сам перезагружался. Загрузил компьютер я через последнюю удачную конфигурацию, но правда все ужасно тормозит. Боюсь уже выключать компьютер. Помогите пожалуйста!!
PS совсем случайно зашел в корзину, и корзина оказалась пустая, хотя я ничего не удалял!
AVZ опять не запускается, только полиморфный.

 

[akok]

Sinderyshkin, давайте лог полиморфной версии.

 

[Sinderyshkin]

Вот логи

 

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip на адрес , в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix

 

[Sinderyshkin]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip на адрес , в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix

Скрипт я выполнил, архив с карантином отправил. AVZ вновь стал запускаться и компьютер перестал тормозить. На диске d появилась папка RECYCLER после выполнения лога combofix, и теперь все, что удаляю помещается почему-то в эту папку, а не в корзину что на рабочем столе. Как сделать, чтобы было как раньше?
Выкладываю новые логи

 

[akok]

Acrobat 7.0 => необходимо обновить до последней версии или деинсталировать.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
Driver::

Folder::
c:\program files\Common Files\7480f6a6
Registry::

FileLook::
D:\VK_grabber.exe
c:\windows\Installer\15328a.msi
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[Sinderyshkin]

новый лог

 

[akok]

c:\windows\Installer\15328a.msi - проверьте на http://www.virustotal.com


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 1 минуту 17 секунд
После лечения обязательно смените все важные пароли.

 

[Sinderyshkin]

новый лог