Подозрение на вирус! Появляются ошибки explorer.exe, lpe.exe, ssdswe.exe, lpex.exe

[VicD 0]

Всем доброго времени суток!

Помогите пожалуйста разобраться в следующем:

при рабоет ПК, начали появляться сообщения об ошибке с уведомлением что приложение будет закрыто. Сообщения появляются с периодичностью в 30 сек (пример сообщения в прикрепленном файле), при чем от разных файлов (deleteme.exe 7l3m4x8d6.exe lpe.exe ssdswe.exe lpex.exe ssdswep.exe) Все файлы находятся в корне профиля пользователя (C:\documents and Settings\MAXIMATOR). Если их удалять - через время появляются снова + ко всему появляются новые файлы. В свойствах каждого из файлов в поле Original File Name стоит некий файлик UTool.exe либо просто UToo.exe. Кроме того что постоянно выкидываются сообщения с машиной ничего не происхдит - все ок, но сообщения очень уж раздражают!

Пытался ставить апдейты, скачанные с сайта Microsoft, с помощью ComboFix - выдает ошибку. Язык системы отличается от языка апдейта.

Логи AVZ и HiJack прикладываю.

Заранее благодарен.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK 138]

Winamp зачем включали?

E:\setup.exe - это что?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('F:\Рабочий стол\Новая папка (7)\Новая папка (4)\Новая папка\Новая папка (3)\kocna.exe','');
QuarantineFile('a.sys','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

 	R3 - URLSearchHook: (no name) - - (no file)

 

Включите AVZPM и повторите логи.

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[VicD 0]

все сделал, все логи в прикрепленных файлах. Карантин на почту был выслан.

 

З.Ы. .... извините за задержку с ответом ....

virusinfo_syscure_disc_C.zip

virusinfo_syscure_all_discs.zip

virusinfo_syscheck.zip

rsit.rar

hijackthis.log

[akoK 138]

C:\WINDOWS\tasks\Microsoft_Hardware_Launch_setup_exe.job - знакомая задача?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('G:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\Documents and Settings\MAXIMATOR\Local Settings\Temporary Internet Files\Content.IE5\OGE4N1DU\BluE[1].exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Будем более радикально лечить:

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

 

 

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

 

скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

Изменено 26 февраля, 2009 пользователем akoK

[VicD 0]

Все сделал, логи в прикрепленных файлах.

да и ошибок стало на много меньше будем надеяться что последние апдейты помогут ))

ComboFix_log.txt

Gmer.log

mbam_log_2009_02_27__21_08_04_.txt

Изменено 27 февраля, 2009 пользователем VicD

[ТроПа 92]

:\WINDOWS\tasks\Microsoft_Hardware_Launch_setup_exe.job - знакомая задача?

Вы не ответили.

 

E:\wpistart.exe, e:\bin\Assetup.exe и F:\LaunchU3.exe - знакомы вам? И что это за диски E и F?

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Временно выключите антивирус, firewall и другое защитное программное обеспечение

File::

Driver::

Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e68d532-0333-11de-82e5-00138f4b9536}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77dd104a-fec7-11dd-903d-00138f4b9536}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4fbb330-5576-11dd-8d0b-00138f4b9536}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562}]
FileLook::

DirLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Новый отчет ComboFixсохраниться в файл файл C:\ComboFix.txt . Выложите его.

[VicD 0]

:\WINDOWS\tasks\Microsoft_Hardware_Launch_setup_exe.job - нет задача не знакома.

E:\wpistart.exe, e:\bin\Assetup.exe и F:\LaunchU3.exe - нет не знакомы.

E:\ - флешка, специально ее оставил чтобы и ее проверить.

F:\-привод

 

Логи будут позже .....

Изменено 28 февраля, 2009 пользователем VicD

[VicD 0]

Доброго времени суток!

Сразу приношу извинения за столь поздний ответ.

Не выдержал я - снес систему! Поставил новую зборку ZverCD + последние обновления. Пару дней все было ок - ни одной ошибки, но спустя некоторое время, снова начали вылетать ошибки EXPLORER.exe. Видимо зараза осталась гдето на диске Д (((

В приложенных файлах ЛОГИ. Заранее спасибо!

virusinfo_syscure.zip

virusinfo_syscheck.zip

log_RSIT.txt

info_RSIT.txt

hijackthis.log

Gmer_logs.log

[ТроПа 92]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки )

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Повторите логи АВЗ и HJT.

Изменено 5 марта, 2009 пользователем wise-wistful

[VicD 0]

Готово!

Логи прикрепил, но по моему зараза осталась. В папке профиля файлы появляются, но сообщения к счастью не всплывают. )

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа 92]

Какие файлы появляются?

Рабочий стол\Новая папка (7)\Новая папка (4)\Новая папка\Новая папка (3)\kocna.exe - это что-то ваше?

[VicD 0]

Файлы появляются в папке: C:\Documents and Settings\Admin\ с расширением ехе, имя похоже что береться произвольное(набор букв), но в свойствах файла указано все то же приложение UTool - хотя ничего такого не устанавливали.

 

Да кстати, Пофиксить в HijackThis следующие строчки

 

Код

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

так и не получилось, т.к. после сканирования HijackThis, ее просто не было.

 

Рабочий стол\Новая папка (7)\Новая папка (4)\Новая папка\Новая папка (3)\kocna.exe - да какой-то рабочий мусор... нужно удалить.

 

Есть еще одна машинка с такими же проблемами (выскакивают окна с уведомлением об ошибке и появляются файлы в папке профиля). Логи в прикрепленных файлах, заранее спасибо.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

RSIT_log.txt

RSIT_info.txt

[ТроПа 92]

По второму компу

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\ANR50PDM\EXP2[1].exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CSCNN3W8\red[1].exe','');
QuarantineFile('C:\Documents and Settings\Admin\s2dsxdshd.exe','');
QuarantineFile('C:\Documents and Settings\Admin\sdsxxdshd.exe','');
QuarantineFile('C:\Documents and Settings\Admin\srdshd.exe','');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F187332');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\ANR50PDM\EXP2[1].exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CSCNN3W8\red[1].exe');
DeleteFile('C:\Documents and Settings\Admin\s2dsxdshd.exe');
DeleteFile('C:\Documents and Settings\Admin\sdsxxdshd.exe');
DeleteFile('C:\Documents and Settings\Admin\srdshd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

Повторите логи.