Помогите разобраться с вирусами на компьютере [OK]

[Agdagi]

В субботу вечером получил первый звоночек, что на компьютере появились вирусы. Обычные методы ух лечения/удачления, как то, установка различных антивирусных программ, результатов не дала - вирусы, среди которых выделялись такие как Virut.NBP, Protector.B, Ursnif.A так и оставались в системе.

Пытался лечить систему через безопасный режим и коммандную строку - тот же результат.

Форматировал диск С, удалял со всех дисков папки с System volume information и Resycle, вновь ставил Windows. Несколько минут живется спокойно, есть интернет, но затем идет громкий *бип* из системного блока, после чего опять все начинается по новой.

За эти дни пытался найти хоть какую-то полезуню информацию, которая могла бы мен помочь в интернете, не нашел ничего кроме того как создать эти самые вирусы, через уязвимость termsrv... Единственное что более-менее нашел по теме, так это этот форум.

 

Уже отчаялся, что придется все 4 диска форматировать, а там семейный архив фотографий/видео...

 

Помогите если не очистить всю систему, то хотя бы диски где эти архивы хранятся от вирусов, а все остальное под удаление, так и быть.

 

Интернет - через сетевой кабель. NAT. С инфиницированного компьютера выхода в интернет нет - говорит нельзя подсоединиться, сижу со второго. Боюсь и его заразить, ведь что бы вам файлы выслать, пришлось к зараженному флешку подключать, и на этот файлы переносить. Хотя там вроде никаких авторанов не было создано...

Сообщение от модератора Falcon

Удалил карантин.

hijackthis.log

virusinfo_syscheck.zip

Изменено 10 июля, 2009 пользователем wise-wistful

[Falcon]

Здравсвтуйте, Agdagi!

Прикрепите, пожалуйста, файл virusinfo_syscure.

[Agdagi]

И вам здравствовать, Falcon!

 

Извините за невнимательность. Прикрепляю.

virusinfo_syscure.zip

[Falcon]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);			
TerminateProcessByName('c:\documents and settings\sas\reader_s.exe');
TerminateProcessByName('c:\windows\system32\reader_s.exe');
TerminateProcessByName('c:\windows\services.exe');	 
QuarantineFile('C:\WINDOWS\inf\unregmp2.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('c:\windows\system32\termsrv.dll','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\system32\reader_s.exe','');
QuarantineFile('c:\documents and settings\sas\reader_s.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system32\reader_s.exe');
DeleteFile('c:\documents and settings\sas\reader_s.exe');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');   
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('protect');
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Пофиксить в HJT(строчки могут отсутствовать):

O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\SAS\reader_s.exe

Выполните в AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

Сделайте новый комплект логов.

[Agdagi]

Спасибо за оперативный ответ.

 

Все сделал, письмо отправил, но ответа пока не получил.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 7 июля, 2009 пользователем Agdagi

[thyrex]

E:\Programs\Windows\avz4\avz.exe
C:\WINDOWS\system32\dllcache\ndis.sys
C:\WINDOWS\system32\termsrv.dll

Заархивируйте, пожалуйста, с паролем virus и пришлите на thyrex2002@tut.by

[Agdagi]

Заархивировать получилось только avz.exe. У оставшихся двух файлов - отказ в доступе.

 

Файл отправил на указанный ящик.

[thyrex]

Результат проверки avz.exe

http://www.virustotal.com/ru/analisis/fe7a...6ce1-1246984999

Файловый вирус, лечить который нужно как описано здесь

Сам файл отправил в вирлаб

 

Попробуйте два оставшихся файла скопировать в другую папку на диске и самостоятельно проверить их на virustotal Ссылки на результат проверки сообщите

Предположительно здесь C:\WINDOWS\system32\dllcache\ndis.sys найдется Protector.B

Изменено 7 июля, 2009 пользователем thyrex

[Agdagi]

Попробуйте два оставшихся файла скопировать в другую папку на диске и самостоятельно проверить их на virustotal Ссылки на результат проверки сообщите

Предположительно здесь C:\WINDOWS\system32\dllcache\ndis.sys найдется Protector.B

 

Я когда их заархивировать пытался, пробовал скопировать в другое место. Не получилось.

 

Сейчас попробую воспользоваться по вашему совету LiveCD.

Скажите, после проверки системы, мне надо вновь будет пройти процедуру проверки AVZ и выслать сюда логи?

[thyrex]

Да

 

Пришел ответ:

avz_.exe_ - Virus.Win32.Virut.ce

Детектирование файла будет добавлено в следующее обновление.

[Agdagi]

Извините что пишу немного криво - я с саита транслит.ру.

 

Значит так, сейчас третий раз идет проверка дисков с помощю Dr.Web Live CD, предыдущие два раза закончились тем, что отключалса монитор... Пока антивирус "лечит" очень много всего. Но посколку зто уже не первый раз проверка идет, что-то меня настораживает.

 

Однако я сеичас по другой причине пишу - я смог выслать на проверку фаила, что не мог ранше, вот резултаты:

 

http://www.virustotal.com/ru/analisis/1d71...0068-1247052186

 

 

ndis.sys же из папки system32\dllcache\ пропал, его сеичас там нет. (не исклучаю, что его удалил антивирус dr.web)

 

После 5 часов проверки Dr.Web Live CD, компьютер решил зависнуть на 20-25% от всего объема обработки. Однако, за это время он успел пройтись по двум дискам, где у меня и были установлены все программы и перешел уже на мои видео-музыкальные архивы, где часа 1,5 просто просматривал все и ничего не обнаруживал/лечил вплоть до момента зависания.

Затем я перезагрузил компьютер и вновь сделал проверку в AVZ, логи которой прилагаю с этим сообщением.

 

Что мне стоит делать дальше?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 8 июля, 2009 пользователем Agdagi

[thyrex]

Если получится C:\WINDOWS\system32\termsrv.dll заархивировать с паролем infected и отправить на newvirus@kaspersky.com

Указать этот пароль в своем письме. Приложить в письмо ссылку на результат проверки на virustotal. Также сделать в письме пометку "требует ответа"

[Agdagi]

Пока получил 2 ответа. Будут ли еще, не знаю.

 

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

 

Здравствуйте,

Извините произонша ошибка и в предыдущем письме вы получили не тот ответ.

Ваш файл находится в процессе обработки. Это исправленный системный файл.

[Agdagi]

Не знаю, прав я или нет, но сейчас сделал повторную отправку файла termsrv.dll, получил ответ:

 

Здравствуйте,

 

termsrv.dll

 

Вредоносный код в файле не обнаружен.

 

Что делать дальше?

[thyrex]

Кроме этого файла ничто не вызывало подозрений.

 

Что с проблемами на данный момент?