Нужна помощь - комп заболел!

[Evgencheg]

Здравствуйте, всем!

 

Комп долгое время стоял без какого либо антивируса,но при этом и без и-нета.

Была организована только локальная сетка с другим одним компом (вот тот был с

и-нетом). После подлючения "выделинки" непосредственно к нему и установке на нём

антивиря NOD32. Тот стал периодически "кричать" что находит и удаляет в карантин

файлы вируса IRCBot. Позднее появились в нем сообщения и об удалении Conficker.A (.AB, .X),

а так же удалении подозрителного файла 26.scr (потом 54.scr, 56.scr, 57.scr и т.д.).

На форуме находил подобное, но не сильно похожее (где-то пытался

поправить и применить скрипт (из темы с удалением 1.scr) - но неудачно!).

Пытался попробывать проверить провериться MicroSoft-овским Online

антивирем, тот настойчиво порекомедовал обновить мой XP SP2 до SP3.

Обновился до SP3! - NOD32 перестал находить IRCBot, но и обновляться тоже

перестал.

Всё это время переодически проверял AVZ4 - не видит никого! На

текущий момент замечаю что несколько функций перехватываются другой

программой (и всё время разной!).

Сейчас комп через какое-то время выкидывает сообщение от ошибке с

некой службой "Generic Host Process for Win32 Services", ругается при

работе со звуком, обрывает соединениес инетом. Все это

восстанавливается при перезагрузке. NOD32 по прежнему не обновляется.

ЛОГи выкладываю.

Зарание благодарю!

 

P.S. Аккурат после открытия темы обновился NOD и нашёл пару файлов Conficker-а.

(добавил ScreenSaver его Карантина)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 2 февраля, 2010 пользователем Evgencheg

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wqgmcxrz.dll','');
DeleteFile('C:\WINDOWS\system32\wqgmcxrz.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\onwxq\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

-Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

- Сделайте новые логи.

[Evgencheg]

После выполнения скрипта со строгим исполнением всех условий

поначалу порадовался что всё стало в порядке.

 

Newvirus@kaspersky.com ответили что содержимое архива "безвредно".

 

Но при сборе новых LOGов комп пару раз безосновательно перезапустился и в конечном итоге пропала всякая возможность попасть на сайт форума. Т. к. форум почитывал уже давно и несколько раз вполне успешно применял лечение по ответам в существующих темах понял что сие - это действие вируса. И использовал сохранившуюся софтинку KKiller. Вполне удачно! После работы KKiller-а пересобрал LOGи (чтобы разговор шёл о текущем состоянии машины(предыдущие (до KKiller-а) сохранил и при необходимости оперативно могу отправить) и приложил.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

gmer_scan.log

[ТроПа]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 3w3n93mt.exe случайное имя утилиты (gmer)

3w3n93mt.exe -del file "C:\WINDOWS\system32\wqgmcxrz.dll"
3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\onwxq"
3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\onwxq"
3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\onwxq"
3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet\Services\onwxq"
3w3n93mt.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

[Evgencheg]

cleanup.bat выполнялся и очнь "ругался" (см.ScreenSaverы).

 

лог готов:

gmer_scan.log

[snifer67]

Чисто.Что с проблемой?

Изменено 4 февраля, 2010 пользователем snifer67

[Evgencheg]

С проблемой?

....пока смотрю!

 

Уже после лечения всё же возникает проблема с сообщением

которое комп через какое-то время всё же выкидывает: об ошибке с

некой службой "Generic Host Process for Win32 Services", после чего ругается во всех

приложениях где должен воспроизводиться звук, при этом даже если

приложение и запустилось звука в нём нет. В диспетчере имеется неопределённое устройство

(но при этом Звуковой контроллер определен и нормально функционирует).

 

Могу ошибаться, но а мой взгляд так это уже не проделки вируса,

а возможно как-то кривовато встало обновление системы до SP3.

 

С этим попробую разобраться самостоятельно.

Ежели вирус как-то себя ещё проявит - дам знать!

 

 

За помощь ОГРОМНОЕ СПАСИБО!

Изменено 4 февраля, 2010 пользователем Evgencheg

[vit9696]

Сделайте еще раз логи, может что хелперы смогут вам поправить, и отчет GSI (все в подписи).

 

Сообщение от модератора ТроПа

Не стоит полностью цитировать предыдущее сообщение и читать не удобно и Правила нарушаются.

[ТроПа]

В АВЗ меню Файл--Стандартные скрипты, поставьте галочку возле номера 6 и нажмите внизу выполнить отмеченные скрипты. Перезгрузитесь. Посмотрите, исчезло неопределённое устройство или нет.

[Evgencheg]

Да уж! как оказалось судя по обсуждениям в и-нете: совсем даже не одинок я в своей проблеме.

В том числе на "Касперском" тоже обсуждалась( http://forum.kaspersky.com/lofiversion/index.php/t20426.html ).

Версий в форумах несколько: вирусы, "дырки" в обновлениях WindowsXP. Проверил обновлением KB958644 (всюду рекомендуемая заплатка KB921883 не стала ставиться (версия обновлений SP3 уже старше)).

Уже сутки как пользуюсь - всё "рОвно"! Видимо залатал баг. (но наверное, не исключено что какой-нть из обновлённых файлов был "пакоцан" вирусом).

 

И ещё раз всем СПАСИБО! Всё работает как часы!

 

P.S. Неопознанное устройство в Диспетчере попробывал удалить. Обновил - не появилось! После перезагрузки тоже. (Интересно помогло бы с 6-м скриптом?)

 

P.P.S А логи, наверное, всё же прицеплю:

 

GSI Raport: http://www.getsysteminfo.com/read.php?file...5daf06205fdf21b

GetSystemInfo_EVGEN_Женька_2010_02_06_03_32_19.zip

hijackthis.log

gmer_scan.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 6 февраля, 2010 пользователем Evgencheg

[snifer67]

Чисто