Подозрение на вирусы Worm.Win32.AutoRun.frp и Backdoor.Win32.Rbot.tbl

[Irbis73]

Добрый день!

 

Компьютер подвисает при загрузке, решил проверить на вирусы и получил следующие.

 

C:\Documents and Settings\l.bodrodinova\Local Settings\Application Data\Yandex\Яндекс.Фотки\help.chm/{CHM}//htm2chm_3_0_9_3.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла

Файл успешно помещен в карантин (C:\DOCUME~1\LE0C7~1.BOD\LOCALS~1\Temp\avz_2928_1.tmp)

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60720.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60721.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60722.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60723.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60724.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60725.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60726.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60727.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60728.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60729.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60730.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60731.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60733.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60734.tmp

Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60735.tmp

C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DF6A62.tmp >>> подозрение на Worm.Win32.AutoRun.frp ( 08FE9376 00000000 0025F30A 00286875 16384)

Файл успешно помещен в карантин (C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DF6A62.tmp)

C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DFF27E.tmp >>> подозрение на Backdoor.Win32.Rbot.tbl ( 08FE9376 00000000 0008F077 0009A322 16384)

Файл успешно помещен в карантин (C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DFF27E.tmp)

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\HideAgent.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\HideAgent.dll>>> Поведенческий анализ

1. Реагирует на события: клавиатура, мышь

C:\WINDOWS\system32\HideAgent.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши

Файл успешно помещен в карантин (C:\WINDOWS\system32\HideAgent.dll)

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"

 

Также на этом компьютере были обнаружены изменения в параметрах загрузки проводника, которые были успешно исправлены с помощью AVZ.

 

Что следует сделать?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\csrss_tc.exe','');
DeleteFile('C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DFF27E.tmp');
DeleteFile('C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DF6A62.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

[Irbis73]

Выполнил предложенный скрипт и скрипт сбора информации.

 

Лог приложен.

virusinfo_syscheck.zip

[snifer67]

Чисто.Что с проблемой?

[Irbis73]

И вчера до выполнения присланного скрипта и сегодня ПК загружается без зависаний.

Спасибо!