Win32.Katusha.b и не только [LOG+]

[Бальторо]

Всем привет!

В общем такое дело. 2 года система (windows xp sp2) работала без сбоев, страшных вирусов не хватала, KIS стоял стеной.

Вчера, по "совету" все того же KIS, который в ходе сканирования рассказал мне, что-де, уязвимости в таких-то файлах, вот вам ссылка на заплатку (на сайте с описаниями, конечно же), я таки задумался о безопасности (зачем-то) и поставил пару заплаток (зачем-то). Одна заплатка была для Винды, другая - для паверпоинта (остальные че-то не подошли, на этом мой энтузиазм с заплатками кончился). Обновил пару ПО (Java в частности), все с официальных сайтов. Полет нормальный.

Следом же, еще раз подумав о безопасности, установил Acronis True Image, сделал пару резервных копий. Думал, мало ли.

Мало ли оказалось в тот же вечер. В какой-то момент при обновлении одной из программ (FileDownloader) ЦПУ подскакнула до 100%, и Касперский занимал в этом процессе где-то половину. Минут 10 оно так повисло-повисло вместе с обновлением, мне надоело, я перезагрузился.

Перезагруженная Винда встретила меня без привычного трея Касперского, что напрягло сразу же. Жду запустить - не грузится. Ну я как-то не подумав (ох) полез в интернет и сразу же пожалел, потому что что-то начало скачиваться. Захожу на диск С - опа, вот и какие-то прекрасные неизвестные файлы валяются. Отрубаю интернет. Хард начинает подкрякивать систематически. Ну все, думаю. Приехал. Кое-как зарубил процессы, включил Касперского, перезагрузился. Касперский долго кричал, чистил, исправлял, удалял, но ничего не выходило.

Среди прочего он обнаружил: Trojan-Dropper.Win32.Agent.awwv, Packed.Win32.Katusha.b, Trojan-GameThief.Win32.OnLineGames.abrf.a, Worm.Win32.AutoRun.afcb.

Запускал Хайджек, пытался пофиксить подозрительные записи - не выходило. После перезагрузки все оставалось на месте.

 

В итоге спал тот же Акронис - восстановил систему по недавно созданной копии.

Полет вроде нормальный.

Но! Сейчас, при попытке скачать торрент (любой, проверял на многих), Касперский начинает кричать, что в скачиваемом файле обнаружен Packed.Win32.Katusha.b (пруфпик). Клиент utorrent, скачал и заменил на всякий с официального сайта еще раз, проверил упоминания в регистре - ничего такого страшного. Но ведь как-то добавляется вредоносный код? Файлы, скачанные через DC-клиент, браузер и download master, ведут себя пристойно, Касперский не кричит.

 

В общем, я даже теряюсь. Сначала от такого изобилия, теперь вот из-за Катюши.

Жду вашей помощи Спасибо заранее.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\RbmuthC.dll','');
QuarantineFile('C:\WINDOWS\system32\RtmutrC.dll','');
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
DeleteFile('C:\WINDOWS\system32\RtmutrC.dll');
DeleteFile('C:\WINDOWS\system32\RbmuthC.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Также повторите логи AVZ.

[Бальторо]

В quarantine.zip "не найдено ничего вредоносного".

При этом Касперский ругался (и продолжает ругаться) на файлы в карантине (не на архив) - пишет, что обнаружен Backdoor.Win32.PcClient.bgxm.

Проблема с Катюшей не решилась - всё мерещится в торрентах.

virusinfo_syscheck.zip

virusinfo_syscure.zip

gmer.log

[snifer67]

Удалите все файлы в папке avz-quarantine.

Изменено 24 августа, 2009 пользователем snifer67

[thyrex]

snifer67, aujasnkj.sys - это драйвер gmer

 

Бальторо, Backdoor.Win32.PcClient.bgxm детектит в карантине AVZ

Изменено 24 августа, 2009 пользователем thyrex

[Бальторо]

Удалил карантин AVZ, на которые ругался Касперский.

Проверил торренты - больше не орет на Катюшу.

Первое со вторым я не очень могу связать, но, видимо, связь есть и компьютер в порядке.

Всем спасибо огромное