Помогите пожалуйста избавиться от вируса

[Nike_b 0]

Помогите пожалуйста избавиться от этой нечисти: C:\WINDOWS\Temp\hlktmp (расширения не имеет).

Я предполагаю, что это троян. Пробовал удалить, но винда ругается (будто файл занят другим приложением и т.п.). Не помог даже KillBox.exe пишет:

---------------------------

File Access

---------------------------

This File could not be Deleted

---------------------------

ОК

---------------------------

Загружался в безопасный режим удалял без проблем. Но при перезагрузке в обычный режим файл снова появлялся.

PS: Как только компьютер загрузился размер файла hlktmp - 0 КБ, минут через 5 размер файла достигает максимального значения 8 209 КБ.

Позже начинает увеличиваться размер папки C:\WINDOWS\Temp\, где создаются файлы типа PR6.tmp, PR9.tmp, PR23.tmp, PR2A.tmp и т.д., максимальный размер которых достигает 1,6 ГБ (их тоже нельзя удалить). Это происходит даже при отключенном интернете, до тех пор, пока не закончится место на жестком диске и комп не повиснет.

 

Пробовал удалять в обычном режиме при помощи Unlocker 1.8.8 появлялось окно (см. прилагаемый файл "Окно Unlocker.jpg"), после чего файл hlktmp исчезал до следующей перезагрузки ОС.

 

У меня стоит Windows XP SP2 и Касперский 6.0.1.411, который обновляется каждый день. Касперский ничего не обнаружил.

 

Необходимые логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

hijackthis.log

[thyrex 1 468]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyy14.sys','');
DeleteService('Winyy14');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyy14.sys');
DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('C:\Windows\Tasks\System Check.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пофиксите в HiJack

 R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - *{83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Сделайте новые логи

 

Выполните дополнительно

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Nike_b 0]

Сообщение от модератора thyrex

Нарушение п. 14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы.

 

Отправил на сайт newvirus@kaspersky.com архив quarantine.zip из папки AVZ. Получил следующий ответ:

< вот содержимое файла quarantine.zip

bcqr00001.ini

bcqr00002.ini

bcqr00003.ini

bcqr00004.ini

ничего вредоносного там нет.>

 

По этому решил и Вам отослать архив quarantine.zip. Может вы чего увидите.

 

В HiJack пофиксил только 2 кода:

R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

R3 - URLSearchHook: (no name) - *{83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)

Третьего что-то не было.

После чего сделал новый лог файл hijackthis.log, в котором уже отсутствуют коды R3.

 

Во время экспресс-проверки GMER выдает ошибку (см. приложение Ошибка GMER.jpg), в результате чего дальнейшее сканирование не возможно.

hijackthis.log

[snifer67 120]

Сделайте новые логи avz.

[Nike_b 0]

Сделайте новые логи avz.

 

 

Вот новые логи как Вы просили

virusinfo_syscure.zip

virusinfo_syscheck.zip

[snifer67 120]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Nike_b 0]

Сообщение от модератора thyrex

Нарушение п. 14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы.

 

 

После проверки ComboFix получил отчет (высылаю). А после перезагрузки компьютера Касперский обнаружил вирус (см. скриншот), а также самовольно включился брандмауэр Windows.

 

И ещё я заметил в папке появились 2 подозрительных файла с именами "1" и "1.LOG", которых ранее не было. (см. скриншот)

 

 

Что с этими файлами делать?

 

PS: Кстати, файл C:\WINDOWS\Temp\hlktmp по прежнему появляется, и его нельзя удалить.

ComboFix.txt

[snifer67 120]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

NetSvcs:: 
wbfrfmj
File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7449:TCP"=-
FileLook::

DirLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

Попробуйте сделать лог gmer.

[Nike_b 0]

Все сделал как говорили. Файл ComboFix.txt прикрепил.

 

Сделать лог gmer опять не получается. В процессе экспресс-проверки выскакивает ошибка и программа закрывается.

ComboFix.txt

[thyrex 1 468]

Строгое предупреждение от модератора thyrex

Нарушение п. 14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы.

Еще раз и получите предупреждение

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
DeleteFile('WinCtrl32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Попробуйте перед создание лога gmer отключить весь защитный софт. Если не поможет, пробуйте сделать лог в безопасном режиме

[Nike_b 0]

Здравствуйте!

Отправил на сайт newvirus@kaspersky.com архив quarantine.zip из папки AVZ. Получил следующий ответ:

Здравствуйте,

bcqr00001.ini, bcqr00002.ini

Вредоносный код в файлах не обнаружен.

 

Новые логи, включая quarantine.zip из папки AVZ, прилагаю.

 

Пробовал запускать GMER в безопасном режиме. В процессе экспресс-проверки опять выскакивает ошибка и программа закрывается.

 

 

И ещё недавно обнаружил 2 подозрительных объекта в папке C:\WINDOWS. На прилагаемом скрине выделены синим цветом (0 и 0.log).

 

Сообщение от модератора ТроПа

Удалил quarantine.zip , там хоть врагов и не было, но к теме его не стоит прикреплять

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67 120]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('wbfrfmj');
DeleteService('wbfrfmj');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wbfrfmj');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\wbfrfmj');   
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

 

Сделайте лог gmer.

[Nike_b 0]

Скрипт выполнил, но GMER по прежнему не сканирует, даже в безопасном режиме.

[snifer67 120]

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Получившийся лог приложите сюда.

[Nike_b 0]

Здравствуйте!

Извините за отсутствие, делал курсовой проект.

 

Все сделал как Вы говорили. Получившийся лог Report.txt прикрепляю.

Report.txt