Worm.Win32.AutoRun.btzw и загрузка ЦП

22 января, 2011

Приветствую хэлперов! При переходе на кабельный интернет вдруг активизировалась куча вирусов. А именно - Worm.Win32.AutoRun.btzw , Trojan-Downloader.JavaOpenConnection , Exploit.HTML.CUF-2010-1886.aa . О двух последних я прочёл в отчёте Касперского за тот день (11.0.1.400 базы от 14.01.11), далее они себя не проявляли. Началось с зависания интернета через короткий срок, при попытке выйти. Антивирус иногда вдруг находил Worm.Win32.AutoRun, но полная проверка зависала то в начале, то на 28%. Позже стал загружаться только рабочий стол и панель ПУСК, без возможности что-либо делать. В безопасном режиме отключил восстановление системы и отключил поиск руткитов в AVP. После чего система стала загружаться в обычном режиме, стало возможно работать. Но при попытке выхода в интернет, system32/svchost.exe пытается "загрузить объект" с *** содержащего вредоносную ссылку. Касперский его на этом ловит. Через 1-5 минут процесс AVP грузит цп на 99% и работа становится невозможной. Фальшивый svchost я не нашел. Зато AVP в диспетчере задач у меня два. Не имею опыта в борьбе с вирусами и прошу знающих людей помочь мне. Система Windows xp sp2. Базы антивируса обновить не удаётся. Все необходимые логи прилагаются.

Строгое предупреждение от модератора Mark D. Pearlstone

Ссылка удалена. Не выкладывайте такое.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

22 января, 2011

Зато AVP в диспетчере задач у меня два.

это нормально.

Система Windows xp sp2

а вот это плохо. нужно будет обновить до sp3

Проверьте компьютер утилитой из этой статьи:

http://support.kaspersky.ru/faq/?qid=208639606

полученный лог из корня диска С приложите.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WaitSvc', 4);
StopService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\msvcp90.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\waitaprnlib.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS');
DeleteFile('c:\windows\system32\waitaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaitSvc\Parameters','ServiceDll');
DeleteService('WaitSvc', );
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Выполните скрипт из этого сообщения:

http://virusnet.info/forum/showthread.php?t=9188

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

Сделайте новые логи по правилам.

Изменено 22 января, 2011 пользователем Roman_Five

22 января, 2011

После первого скрипта загрузка ЦП пропала. В сеть больше никто не лезет.

Это от Касперского ответ Раскрывающийся текст:

bcqr00001.dat,

bcqr00002.dat

Файлы нулевой длины.

bcqr00003.dat,

bcqr00004.dat,

tcpz-x86d.sys

Вредоносный код в файлах не обнаружен.

waitaprnlib.dll - Net-Worm.Win32.Kolab.sdp

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

Интернет обрывается спустя пару минут, при том все окна и панель ПУСК "перезагружаются" в стандартный черно-белый вид и обратно. Новые логи.

TDSSKiller.2.4.14.0_22.01.2011_18.53.39_log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 22 января, 2011 пользователем Aeolus1

23 января, 2011

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

23 января, 2011

Такие дела. Базы я новые скачал, после ответа от Касперского. Комбо Фикс поработал, перезагрузился. Лог прилагаю к письму.

Интернет теперь работает минут 15 - 20. Выдаёт ошибку. Раскрывающийся текст:

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown

szModVer : 0.0.0.0 offset : 001f1cb0

C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\svchost.exe.mdmp

C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\appcompat.txt

И отрубается. Касперский выловил тот самый Net-Worm.Win32.Kolab.sdp. Но не до конца, тот постоянно лезет в сеть через svchost и на том попадается.

Ещё так бывает.

ComboFix.txt

Изменено 23 января, 2011 пользователем Aeolus1

23 января, 2011

Установите обновления на виндовс.Повторите лог.

23 января, 2011

Благодарю товарищей Roman_Five и thyrex, в следствии выполнения их рекомендаций удалось приблизить победу над ненавистными червями.

Но представляется мало возможным устанавливать сейчас массивные пакеты обновлений, так как компьютер и интернет работают нестабильно.

Касперский ловит Net-Worm.Win32.Kolab.sdp под разными личинами. Каждое лечение занимает не менее 20 минут с последующей перезагрузкой.

Полная проверка останавливается на файлах вида system32/A99(28,98).exe , которые иногда определяются Касперским, как тот самый червь.

Временами возвращается загрузка Цп avp и попытки загрузить ту же вредоносную ссылку.

Хотелось бы узнать, является ли загрузка обновлений (sp3,IE и т.д.) единственным методом лечения.

24 января, 2011

единственным методом лечения.

профилактики.

да.

начните с этого:

http://www.microsoft.com/downloads/details...;displayLang=ru

скачайте на другом компьютере и установите на своём.

24 января, 2011

От Kido помогает только фаервол. Установите какойто фаервол, например Pc Tools (он бесплатный) и кидо больше не будет, он лезит к Вам из локальной сети.

Worm.Win32.AutoRun.btzw и загрузка ЦП

Рекомендуемые сообщения

Aeolus1

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Aeolus1

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Aeolus1

Ссылка на комментарий

Поделиться на другие сайты

snifer67

Ссылка на комментарий

Поделиться на другие сайты

Aeolus1

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Polik

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum