Нахватал заразы. Помогите, пожалуйста. [OК]

[daemonarch]

Ситуация точь в точь с этой

Так же вначале запустился ие, открылась страничку с иероглифами, затем все начало дико тормозить, появилась пара десятков новых процессов, тут же проснулся касперский, нашел кучу вирусни, начал лечить/удалять. Дополнительно прогнал в безопасном режиме + проверил cure it.

В итоге сейчас при старте системы видно 3-4 левых процесса типа j002.exe, j003.exe. При подключении к интернету касперский ругается на трояны, хидден инсталлы, руткиты, invader'ы, пишет, что необходима спец. процедура лечения с перезагрузкой, а после перезагрузки все начинается сначала.

Помогите, плиз.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 24 сентября, 2009 пользователем ТроПа

[snifer67]

выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\vbikq45jvm\j003.exe');
TerminateProcessByName('c:\windows\system32\i\j002.exe');
StopService('fsaa');
StopService('bfy');
DeleteService('OSEvent');
DeleteService('fsaa');
DeleteService('bfy');
StopService('bfy');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[2].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[1].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[2].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[1].exe','');
QuarantineFile('c:\windows\system32\sysDll.exe','');
QuarantineFile('C:\WINDOWS\system32\QGGTMFRB58\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\MOLMC8MULR\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\EOUPKV87SK\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\U54VJW32NM\P001.exe','');
QuarantineFile('C:\WINDOWS\system32\windswe.exe','');
QuarantineFile('C:\WINDOWS\system32\s.exe','');
QuarantineFile('C:\WINDOWS\system32\ac9a.exe','');
QuarantineFile('c:\windows\system32\blbrunsrv.dll','');
QuarantineFile('C:\WINDOWS\System32\blblogsrv.dll','');
QuarantineFile('c:\windows\system32\vbikq45jvm\j003.exe','');
QuarantineFile('c:\windows\system32\i\j002.exe','');
DeleteFile('c:\windows\system32\sysDll.exe');
DeleteFile('c:\windows\system32\i\j002.exe');
DeleteFile('c:\windows\system32\vbikq45jvm\j003.exe');
DeleteFile('C:\WINDOWS\System32\blblogsrv.dll');
DeleteFile('c:\windows\system32\blbrunsrv.dll');
DeleteFile('C:\Documents and Settings\111\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\U54VJW32NM\P001.exe');
DeleteFile('C:\WINDOWS\system32\EOUPKV87SK\H001.exe');
DeleteFile('C:\WINDOWS\system32\MOLMC8MULR\H001.exe');
DeleteFile('C:\WINDOWS\system32\QGGTMFRB58\H001.exe');
DeleteFile('C:\WINDOWS\system32\s.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[2].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[2].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile');
DeleteFileMask('c:\windows\system32\i', '*.*', true);
DeleteDirectory('c:\windows\system32\i');
DeleteFileMask('c:\windows\system32\vbikq45jvm', '*.*', true);
DeleteDirectory('c:\windows\system32\vbikq45jvm');
DeleteFileMask(':\WINDOWS\system32\QGGTMFRB58', '*.*', true);
DeleteDirectory(':\WINDOWS\system32\QGGTMFRB58');
DeleteFileMask('C:\WINDOWS\system32\EOUPKV87SK', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\EOUPKV87SK');
DeleteFileMask('C:\WINDOWS\system32\MOLMC8MULR', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\MOLMC8MULR');
DeleteFileMask('C:\WINDOWS\system32\QGGTMFRB58', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\QGGTMFRB58');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Знакомы днс ?

213.179.249.133
213.179.249.134

Сделайте новые логи.

Изменено 23 сентября, 2009 пользователем snifer67

[daemonarch]

Спасибо!

Выполнил скрипт + касперский вроде как чего-то вылечил.

В итоге осталось 2 процесса: kdfadia.exe и cmd.exe. Последний грузит процесор на 30-50%. Больше видимых пакостей не происходит.

 

ДНС-ы провайдерские вроде (укртелеком)

 

Новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\kdfadia.exe');
DeleteService('sdsdfesje');
DeleteService('n hj');
QuarantineFile('C:\WINDOWS\system32\sysDll.exe','');
QuarantineFile('C:\WINDOWS\Fonts\50750243.DLL','');
QuarantineFile('c:\windows\system32\kdfadia.exe','');
DeleteFile('C:\WINDOWS\nhg.exe');
DeleteFile('c:\windows\system32\kdfadia.exe
DeleteFile('C:\WINDOWS\system32\sysDll.dll');
DeleteFile('C:\WINDOWS\system32\sysDll.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
BC_DeleteFile('C:\WINDOWS\system32\sysDll.exe');
BC_DeleteFile('C:\WINDOWS\system32\sysDll.dll');
BC_DeleteFile('C:\WINDOWS\system32\kdfadia.exe');
DeleteFile('C:\Documents and Settings\111\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\Fonts\50750243.DLL');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Изменено 23 сентября, 2009 пользователем snifer67

[daemonarch]

Огромное спасибо!

Все нехорошее погибло, тишина и спокойствие... Но все равно как-то ссыкотно...

 

 

Еще логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Зверьки не хотят уходить по хорошему .

 

Скачайте http://ifolder.ru/6493654

Запустите, перейдите на вкладку File- Найдите эти файлы C:\WINDOWS\system32\windswe.exe , c:\windows\system32\sysDll.exe,C:\WINDOWS\nhg.exe -Найдите эти файлы- Правой кнопкой мыши - force delete.

 

+Контрольные логи avz.

Изменено 23 сентября, 2009 пользователем snifer67

[daemonarch]

Сейчас скачаю.

А насчет ссыкотно - не зря было

svchost.exe разошлся и начал грузить процессор на 90% в итоге вообще подвисло все.

 

Спасибо

windswe.exe удалил

вторых двух итак не было.

 

 

Логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('windswe');
DeleteService('n hj');
DeleteFile('C:\WINDOWS\nhg.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('windswe');
BC_DeleteSvc('n hj');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделайте новые логи

[daemonarch]

Спасибо.

Выполнил.

 

Новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Логи чисты.

[daemonarch]

Логи чисты.

 

Ну, стало быть, мучас грациас всем

Щас пойду сервис паки с заплатками ставить, и прочие рекомендации по возможности...

Всего вам доброго, еще раз спасибо.

Если вдруг зверушки вернутся, я тут попишу еще

Изменено 23 сентября, 2009 пользователем daemonarch