Последствия вирусной активности

[kyrs223]

Помогите решить проблемы с последствиями вирусной активности! В общем вчера друг принес компьютер с просьбой посмотреть на какие-то ошибки всплывающие сразу при старте и связанные как-то с ATI Catalyst Control Center и Microsoft .NET Framework Version 2.0. Я подумал сразу что у него ATI Catalyst Control Center встал при установке как-то криво, поэтому пришлось удалить и установить с нуля, но оказалось напрасно ничего не вышло. Позже я заметил у него что при запуске редактора реестра ничего не происходит, как бы он запускается через ПУСК>ВЫПОЛНИТЬ>regedit, UAC запрашивает разрешение и на этом всё больше ничего не происходит. Далее попробовал запустить IE, тоже ничего не происходит, в процессах не висит. На рабочем столе увидел пару "пустых" ярлыков для запуска программ. Попробовал запустить, ответ - "....exe не является приложением Win32", нашел исполняемый файл этой программы, а его размер составил 0 KB. Тут то я сразу заподозрил, что на компьютере побывал вирус, а то и несколько. Как вы считаете мои доводы правильные или это что-то с Windows? И если это вирусы то помогите от них избавиться.

 

P.S. Да кстати чуть не забыл, при запуске "sfc /SCANNOW" с установочным диском вылетает такая ошибка: "Начато сканирование системы. Это может занять некоторое время. Начало стадии проверки при сканировании системы. Проверка 100% завершена. Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них. Сведения см. в журнале CBS.log windir\Logs\CBS\CBS.log. Например: C:\Windows\Logs\CBS\CBS.log" Это тоже последствия вирусов?

 

 

Итоги исследования утилитой GetSystemInfo

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_ALEX_PC_Alex_2010_12_25_12_55_15.zip

Изменено 25 декабря, 2010 пользователем kyrs223

[Roman_Five]

Прокси локальный Вы прописывали в настройках IE?

Файл Reboot.exe в автозагрузку Вы помещали?

Если нет, Пофиксите в HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8888
O4 - Global Startup: Reboot.exe

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SetAVZGuardStatus(True);
StopService('Rubar Update Service');
QuarantineFile('C:\Documents and Settings\All Users\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
QuarantineFile('C:\Documents and Settings\Все пользователи\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
QuarantineFile('C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLI.Aspect.CPUPStates.Fuel.Dashboard.dll','');
QuarantineFile('C:\Program Files\Common Files\Portrait Displays\drivers\vista.dll','');
QuarantineFile('C:\Program Files\mediabar Toolbar\rubar.dll','');
QuarantineFile('C:\Program Files\mediabar Toolbar\RubarUpdateService.exe','');
QuarantineFile('C:\ProgramData\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
QuarantineFile('C:\Program Files\VSO\VsoStart.exe','');
QuarantineFile('C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Reboot.exe','');
QuarantineFile('C:\Users\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
QuarantineFile('C:\Users\All Users\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
QuarantineFile('C:\Users\Все пользователи\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll','');
DeleteFile('C:\Documents and Settings\All Users\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
DeleteFile('C:\Documents and Settings\Все пользователи\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
DeleteFile('C:\ProgramData\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
DeleteFile('C:\Users\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
DeleteFile('C:\Users\All Users\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
DeleteFile('C:\Users\Все пользователи\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
DeleteFile('C:\Users\Все пользователи\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\clldr.dll');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

По логам не видно, что у Вас проблемы с редактором реестра и IE.

Проверим целостность системы:

- установите все обновления (может потребоваться активация).

- проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

- запустите для него дефрагментацию.

пуск-выполнить-defrag C: /v

- проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

 

Сделайте новые логи по правилам.

 

 

------

раз sfc вы уже запускали, приложите все файлы *.log из папки windows\Logs\CBS\

Изменено 25 декабря, 2010 пользователем Roman_Five

[kyrs223]

Ответ от вирусной лаборатории:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00015.dat,

bcqr00016.dat,

CLI.Aspect.CPUPStates.Fuel.Dashboard.dll,

vista.dll,

VsoStart.exe

 

Файлы в процессе обработки.

 

bcqr00009.dat,

bcqr00010.dat,

rubar.dll

 

Вредоносный код в файлах не обнаружен.

 

bcqr00011.dat,

bcqr00012.dat,

RubarUpdateService.exe - not-a-virus:WebToolbar.Win32.Rubar.a

 

Эти файлы уже детектируются нашими расширенными базами как потенциально опасное программное обеспечение.

 

clldr.dll,

clldr_0.dll,

clldr_1.dll,

clldr_2.dll,

clldr_3.dll,

clldr_4.dll,

clldr_5.dll - HackTool.Win32.Kiser.ma

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

Обновления проверил - Новых обновлений нет.

Буду проверять системный раздел скандиском, выполню дефрагментацию, попробую по новой проверить целостность системы sfc /scannow. О результатах отпишусь.

[Roman_Five]

RubarUpdateService.exe - not-a-virus:WebToolbar.Win32.Rubar.a

Вам рекламная программа на компьютере нужна? если нет - деинсталлируйте. не получится - удалим скриптом.

 

не забудьте про новые логи

[kyrs223]

RubarUpdateService.exe вроде бы удалил. Выполнил все требуемые операции, итог - всё тоже самое, все те же ошибки при старте. Выполнил sfc /scannow, пишет тоже самое. Прикрепляю новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

CBS.rar

[Roman_Five]

второй ответ на карантин не пришёл ещё?

пишет тоже самое

про ошибки восстановления? странно. судя по отчёту всё нормально восстановлено.

Verify and Repair Transaction completed. All files and registry keys listed in this transaction have been successfully repaired

вроде бы удалил

не всё. удалим скриптом.

все те же ошибки при старте

приложите все скрины всех ошибок. судя по всему, они вызваны ошибками инсталляции ССС и Framework

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('Rubar Update Service', 4);
StopService('Rubar Update Service');
QuarantineFile('C:\Program Files\mediabar Toolbar\rubar.dll','');
QuarantineFile('C:\Program Files\mediabar Toolbar\*.*','');
QuarantineFile('C:\Program Files\mediabar Toolbar\RubarUpdateService.exe','');
DeleteFile('C:\Program Files\mediabar Toolbar\RubarUpdateService.exe');
DeleteFile('C:\Program Files\mediabar Toolbar\rubar.dll');
DeleteFileMask('C:\Program Files\mediabar Toolbar\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\mediabar Toolbar\',' ');
DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}');
DeleteService('Rubar Update Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[kyrs223]

Второго ответа пока нету, скрипт выполнил. Сделал скрины ошибок и хотел их просмотреть через Windows Photo Viewer, но снова ошибка . Сделал на всякий случай и скрин ошибки Windows Photo Viewer. Чет кажись с библиотеками dll случилось, только вот что?

Скрины.rar

[Roman_Five]

жёстко.

деинсталлируйте ССС (а возможно и сопутствующие программы ATI|AMD - всё что начинается на ATI, Catalist или ССС) и netFramework

перезагрузитесь. возможно, разрешение экрана будет не очень - потом поправите новыми драйверами.

установите Ccleaner

проверьте реестр на ошибки и почистите временные файлы

скачайте новый ССС и фрэймворк (3,5 ?) через центр обновления Windows

установите.

 

 

-----

IE и редактор реестра запускаются?

[kyrs223]

IE и редактор реестра так и не запускаются

 

Ccleaner есть уже, регулярно ею пользуюсь. А фрэймворк 3.5 обязательно надо ставить или 4.0 тоже можно?

Изменено 25 декабря, 2010 пользователем kyrs223

[Roman_Five]

4.0 тоже можно?

на ваше усмотрение.

 

IE 8 или 9 скачайте с сайта и установите

http://www.microsoft.com/windows/internet-...wide-sites.aspx

http://windows.microsoft.com/en-US/interne...ducts/ie-9/home

 

файл regedit в C:\windows есть?

[kyrs223]

файл regedit в C:\windows есть?

есть

 

А с Windows Photo Viewer что делать? Кстати пробовал игру сегодня установить, так она по средине установки что-то тоже с "dll" выкинула

[Roman_Five]

создайте точку восстановления.

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[kyrs223]

Сделал лог ComboFix-ом.

 

Спасибо за помощь! Буду форматировать и по новой винду ставить, а то чую это не на одни сутки затянется. Тему можно закрывать.

ComboFix.txt

[Roman_Five]

Буду форматировать и по новой винду ставить

после комбофикса и переустановки начисто ССС и .NetFramework'a система не наладилась?

 

если ещё актуально:

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::

Folder::

Registry::

FileLook::

DirLook::

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.