Есть ли вирусы?

[Modenaz]

Приветствую! Недавно система подверглась заражению, антивирусом пролечил, но возможно вирусы на ноутбуке остались. Плюс ко всему до этого( около трех недель назад) перестали работать USB-порты, так до сих пор и не работают, обновление драйверов в диспетчере устройств не помогает. Может система повреждена? Вот, посмотрите, пожалуйста, логи на всякий случай.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 26 августа, 2010 пользователем Modenaz

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('sysdrv32', 4);
SetServiceStart('yjqohh', 4);
SetServiceStart('wbgwj', 4);
SetServiceStart('spzmsu', 4);
SetServiceStart('rtwvrm', 4);
SetServiceStart('gadfeg', 4);
SetServiceStart('azypjtmc', 4);
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\FchULCF.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\d348bus.SYS','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\numnpn.sys','');
QuarantineFile('c:\DOCUME~1\heirees\LOCALS~1\Temp\Rar$EX01.797\vfd.sys','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('\\?\globalroot\systemroot\system32\FchULCF.exe');
DeleteFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622}');
DeleteService('sysdrv32');
DeleteService('yjqohh');
DeleteService('wbgwj');
DeleteService('spzmsu');
DeleteService('rtwvrm');
DeleteService('gadfeg');
DeleteService('azypjtmc');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Отправьте на проверку файл Quarantine.zip из папки AVZ

Сообщение от модератора thyrex

на newvirus@kaspersky.com

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32XF0 FmEA.exe,\?globalrootsystemrootsystem32FchULCF.exe,
R3 - URLSearchHook: (no name) - - (no file)

 

Сообщение от модератора thyrex

Сделайте новые логи

 

Сделайте лог GMER.

Изменено 26 августа, 2010 пользователем thyrex

[Modenaz]

begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');

end.

- почему-то этот скрипт дает такой файл, на который сервер ругается: "Файл не является архивом с карантином AVZ !"

[thyrex]

А Вы на какой адрес отправляли? Размер архива какой?

[Modenaz]

Пытался отправить на virusinfo.info, не получилось

 

А потом просто отправил на newvirus@kaspersky.com. Пока только ответ автоматической системы пришел. Папка Qurantine весит 5, 21 кб

[snifer67]

Сделайте лог GMER

[Modenaz]

Вот сделал новые логи. Лог gmer сделать не получается, во время работы этой утилиты зависает система. Кстати, пока делал логи, отключил, как и рекомендуется, антивир и брандмауэр( интернет остался подключенным). Как результат - новое заражение. Сейчас сделал полную проверку антивирусом, кое-какие вирусы удалились. Но думаю зараза еще осталась

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 28 августа, 2010 пользователем Modenaz

[thyrex]

В 911 Ваша тема?

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Modenaz]

В 911 тема называется "вирусы". Могу я перед запуском combo, отключить интернет, чтобы не было нового заражения и можно ли делать логи в avz c отключенным интернетом ?

Изменено 28 августа, 2010 пользователем Modenaz

[Roman_Five]

отключите.

чтобы не было заражения, надо поддерживать в актуальном состоянии Windows (у Вас - со вторым СП)

[Modenaz]

Вот сделал лог combofix

log.txt

[Modenaz]

Что теперь делать?

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

NetSvc::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

Folder::
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3305:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Modenaz]

Выполнено

log.txt

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\4AF08F1659.sys

Driver::

Folder::
C:\FOUND.007
C:\FOUND.006

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.