Решена В реестре 225 TCPRoute и 10 вирусов нашлось. Что делать далее?

[Влад]

Здравствуйте!Почти месяц спустя комп начал очень сильно тормозить и инет. malwarbytes нашёл 225 вирусов. cureit нашёл 10 вирусов и после удаления завис. AVZ - не обновил базы, на сайты антивирусов - зайти не удается. HIJACK - создал логи, но прикрепить лог не удалось - пишет, что некорректный файл. логи прилагаю, подскажите, пожалуйста, дальнейшие шаги лечения.
Есть предположение, что проблемы из-за n e r o . В прошлый раз все началось из-за попытки поудалять ее ручками. затем полезли вирусы, заем слетела "видюха" и пошло-поехало. С видюхой не справился - решил переустанавливать систему, перед этим "почистил" n e r o. И опять вылезла нечисть.

 

[icotonev]

Добрый день ..!

Удалите все найденные с МБАМ...!

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
 ExecuteRepair(20);
RebootWindows(true);
end.

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Подготовка свежие логи с АВЗ + МБАМ...!

 

[Влад]

После удаления найденного МБАМ обновились базы AVZ. Логи прилагаю. Спасибо. Что делать далее?

 

[akok]

Что с проблемами?

 

[Влад]

21.30 cure it оооочень долго проверяет папку c\windows\system32\drivers - в корне этой папки файлы с расширением *.sys проверяются со скоростью один файл в полминуты-минуту. Проверка идет третий час. И это БЫСТРАЯ проверка.
21.33Сейчас пошла проверка в других папках - счетчик проверенных файлов "летает" - десятки в секунду.
21.35 По какой-то причине ОПЯТЬ проверяет корневые файлы вышеуказанной папки.
Раньше быстрая проверка занимала от силы 15 минут.

Добавлено через 23 часа 10 минут 32 секунды
Здравствуйте! Инет тормозит, cureit даже не запускаю на полный режим. Что делать дальше?

 

[icotonev]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[Влад]

Здравствуйте. После начала работы Combo Fix появилась надпись, что есть "детект" руткита. Перезагрузилось, прошло два раза. Инет - тормозит также, пропал значок переключения раскладки клавиатуры (Ru-En). Обратите внимание, что наш Яндекс "использует" фишку: при наборе текста автоматически "подменяет" русскую или латинскую раскладку, если по его - Яндексу- мнению надо "писать" соответственно. И для того, чтобы переключить раскладку с русского на английский (и наоборот) надо нажимать не Shif+Alt(левый), а Shif+Alt(левый)+Alt(левый) - то есть дважды Alt. После работы Combo Fix при замене раскладки опять работает распространенный вариант Shif+Alt(левый) - единожды.
лог Combo Fix прикладываю. Завтра попытаюсь "прогнать" cureit в полном варианте. Есть ли сейчас в этом смысл? И еще : за прошлый месяц исходящий трафик - почти 500 мегабайт. НИКАКИХ файлов кроме штук 40 Word - не отправлял. Вопрос - может ли быть ТЕОРЕТИЧЕСКИ такой трафик?

 

[icotonev]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::
File::
Driver::
Folder::
c:\program files\Common Files\b82639d4
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14437:TCP"=-
FileLook::
DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[Влад]

Здравствуйте. Выполнил скрипт, снова "presence" руткит активити. Перезагружался дважды. Лог прилагаю. Не удается зайти на сайты он-лайн проверки на вирусы: эсед 32, вирустотал. Похоже, что на адрес *.com не дает зайти, т.к. на он-лайн адрес в доменной зоне .ru зайти возможно. Что делать дальше?

 

[akok]

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

И логи AVZ повторите.

 

[Влад]

Gmer провел экпресс-проверку, а после нажатия СКАН комп сразу перезагрузился. Может, надо было убрать ComboFix? АВЗ делаю.

 

[akok]

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

[Влад]

AVZ - логи прилагаю, папку отправил.

 

[icotonev]

В логи AВЗ не вижу ничего тревожные...!После удаления ComboFix,попробуйте сделать проверку с Gmer..!

Инструкция - пост 10

 

[Влад]

AVZ сделал - логи прилагаю. Malware еще 4 выловил. Cure it работает следующим образом: сначала 8100 файлов проверил за 18 минут (довольно быстро), затем проверка папки system32\drivers сильно тормозит - например, amdk6.sys или amdk7.sys проверяет по 15-20 секунд, adinttxx.sys или ati1xbxx.sys - 2 минуты. Итого 200 файлов аж за 40 минут. Примерно 2000 файлов проверялось 1ч 40 минут. Думал, новый алгоритм Cure it , но у отца на довольно древнем ноутбуке - 10 тыс.файлов 54 процесса проверилось за 22 минуты. Примерно такой же длительности проверка была раньше и у меня (полтора месяца назад). Сейчас попробую GMER.

 

[Влад]

Gmer провел экпресс-проверку, а после нажатия СКАН комп сразу перезагрузился. Перезагрузка произошла после проверки Device\Prodrv03 - не знаю, что это такое и из-за него ли? То есть GMER не сработал, после перезагрузки служебное окно мелкомягкого "...система восстановлена...ошибки..отправить отчет...". Инет грузится через раз - то окно "соединение не подключено..", то нормально подключается. Зато на з-олег точка ком свободно захожу.

 

[akok]

Не вижу признаков активного заражения.

Раз уж пошла такая пьянка давайте проверим систему AVPtool

 

[Влад]

И еще: в реестре HKEY LOKAL MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NAUPDATE\0000\ есть DeviceDesc тип REG_SZ со значением @Crogram Files\Nero\Update\NASvc.exe,-200 и Service тип REG_SZ со значением NAUPDATE. Это неудаленные остатки. И неудаляемые!!! Есть предположение, что из-за неё все проблемы и есть. Что делать дальше?

Добавлено через 8 минут 59 секунд
AVP не удается скачать - 1 Мб и ..соединение прервано.

 

[akok]

http://www.nero.com/ena/downloads-nero9-tools-utilities.html#tab4 - давайте так попробуем.

 

[Влад]

Спасибо за ссылку - Я использовал похожую с того же сайта, но она вообще не срабатывала "...неправильный путь..." Ваша хоть что-то начала "делать", но потом "...не обнаружено". И в реестре та же запись осталась. AVP вчера не доработала. Сейчас еще раз запущу. На связь выйду после 18.00. Приложу логи.