Компьютер поразили вирусы. Не могу справиться

[HarleyDavidson 1]

Доброго времени суток. Вирусы поразили компьютер. Не дают жить нормально. Уповаю на Вашу помошь! За ранее спасибо

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[icotonev 57]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

Обновите базы AVZ и переделайте логи AVZ

Логи приложите.

[HarleyDavidson 1]

Вот, сделал как Вы и просили.

 

Только получилось что то непонятное. На диске C:\ (системный) не отображаются файлы и папки.

virusinfo_syscure.zip

comboFix.txt

Изменено 6 февраля, 2012 пользователем HarleyDavidson

[icotonev 57]

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ePa5OYqWo3w.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\8aefdf3f-82dc-462e-be91-2ca1c43911cf\CliSecureRT.dll','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\8aefdf3f-82dc-462e-be91-2ca1c43911cf\CliSecureRT.dll');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ePa5OYqWo3w.exe');
DeleteFileMask('C:\7a6vHav3hoNDlNF', '*.*', true);
DeleteFileMask('C:\hb7Kpo9I7YTx3LT', '*.*', true);
DeleteDirectory('C:\7a6vHav3hoNDlNF');
DeleteDirectory('C:\hb7Kpo9I7YTx3LT');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

 

Пожалуйста, скачайте SystemLook от одной из ссылок ниже, и сохраните его на рабочем столе.

Download Mirror #1

Download Mirror #2

• Дважды щелкните SystemLook.exe для его запуска.
  
• Скопируйте содержимое из следующих CodeBox в основном текстовом поле:
  

:filefind 
*winscard*

• Нажмите кнопку Look, чтобы начать проверку.
  
• После завершения откроется блокнот с результатами проверки. Просим Вас присылать этот журнал в следующий ответ.
  

[HarleyDavidson 1]

Сообщение от модератора thyrex

Не нужно полностью цитировать предыдущее сообщение

 

Спасибо вам большое за Ваше терпение. Очень благодарен Вам что не оставили без внимания.

Отправил файл карантина, ответ еще не получил. Вот прикрепляю все вышеуказанные файлы.

 

Извиняюсь. Что то я тормознул. Вот добавляю недостающие файлы.

SystemLook.txt

log.txt

virusinfo_syscure.zip

mbam_log_2012_02_07__09_55_32_.txt

virusinfo_syscheck.zip

Изменено 7 февраля, 2012 пользователем thyrex

[Tiare 183]

Здравствуйте.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

выполнили? Отчет прикрепите.

 

+ нет отчета virusinfo_syscheck.zip

[HarleyDavidson 1]

Здравствуйте.

 

 

 

выполнили? Отчет прикрепите.

 

+ нет отчета virusinfo_syscheck.zip

В предыдущий пост добавил недостающие файлы. Надеюсь они Вам о чем то скажут. Спасибо.

Изменено 7 февраля, 2012 пользователем HarleyDavidson

[Tiare 183]

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\WINDOWS\system32\xtgina.dll
C:\WINDOWS\system32\slsapi.dll
C:\WINDOWS\system32\mspwjfpt.exe

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\004A10.exe',' ');
QuarantineFile('C:\WINDOWS\system32\mspwjfpt.exe',' ');
QuarantineFile('C:\WINDOWS\system32\winscard.dll',' ');
QuarantineFile('C:\WINDOWS\system32\dllcache\winscard.dll',' ');
QuarantineFile('C:\WINDOWS\system32\slsapi.dll',' ');
DeleteFile('C:\Documents and Settings\Admin\Application Data\004A10.exe');
DeleteFile('C:\WINDOWS\system32\mspwjfpt.exe');
DeleteFile('C:\WINDOWS\SET8.tmp');
DeleteFile('C:\WINDOWS\SET4.tmp');
DeleteFile('C:\WINDOWS\SET3.tmp');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoNDlNF', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\hb7Kpo9I7YTx3LT', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\hb7Kpo9I7YTx3LT');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoNDlNF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus. Отправьте архив через данную форму.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

Повторите лог RSIT

 

Покажите содержимое файла C:\plg.txt

 

 

 

Какие проблемы наблюдаются?

Изменено 7 февраля, 2012 пользователем Tiare

[HarleyDavidson 1]

Здравствуйте, выполнил все как велел Tiare

Файлы отправил на исследование, ответа еще не приходило.

Вот результат проверки virustotal:

 

C:\WINDOWS\system32\xtgina.dll

https://www.virustotal.com/file/7967158bf7c...sis/1328696886/

C:\WINDOWS\system32\slsapi.dll

https://www.virustotal.com/file/54f8a14f3e4...sis/1328697045/

C:\WINDOWS\system32\mspwjfpt.exe

https://www.virustotal.com/file/4987b0ca466...sis/1328697228/

 

Остальное во вложении.

 

Какие проблемы наблюдаются?

Не обновляется антивирусные базы Eset Smart Security (хай йому грець). Перестали работать некоторые программы. Спасибо!

log.txt

[icotonev 57]

Повторите сканирование в MBAM и удалите только следующие строки:

 

C:\Documents and Settings\Admin\Application Data\004A10.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\WINDOWS\system32\mspwjfpt.exe (Heuristics.Shuriken) -> Действие не было предпринято.
D:\System Volume Information\_restore{BE5B7999-4245-4ADE-B64F-55AA1DCF9FB6}\RP313\A0132428.exe (Malware.Packer) -> Действие не было предпринято.

 

 

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

ClearJavaCache::

FCopy::
C:\WINDOWS\system32\dllcache\winscard.dll | c:\windows\system32\winscard.dll

File::
C:\WINDOWS\system32\xtgina.dll
C:\WINDOWS\SET8.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET3.tmp

Folder::
C:\Documents and Settings\Admin\Application Data\hb7Kpo9I7YTx3LT
C:\Documents and Settings\Admin\Application Data\7a6vHav3hoNDlNF


FileLook::
C:\plg.txt

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Изменено 8 февраля, 2012 пользователем icotonev

[HarleyDavidson 1]

Пришел ответ на почту.

 

004A10.exe - Trojan.Win32.Yakes.oet

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00009.dat,

bcqr00010.dat,

winscard.dll

 

Вредоносный код в файлах не обнаружен.

 

mspwjfpt.exe

 

Файл в процессе обработки.

 

6.2.2012__9.9.25.390.exe.vir,

AddRemove-01_Simmental.reg.dat,

AddRemove-02_Siberian.reg.dat,

AddRemove-03_Swallowtail.reg.dat,

AddRemove-04_semseyite.reg.dat,

AddRemove-05_Sloan.reg.dat,

AddRemove-06_Spencer.reg.dat,

AddRemove-07_Schorl.reg.dat,

AddRemove-08_EMPChipset.reg.dat,

AddRemove-09_Hsp.reg.dat,

AddRemove-11_HSP_Plus_Default.reg.dat,

AddRemove-16_Shrewsbury.reg.dat,

AddRemove-17_EMP_Chipset2.reg.dat,

AddRemove-18_Zinia_Serial_Driver.reg.dat,

AddRemove-19_VIA_driver.reg.dat,

AddRemove-20_NXP_Driver.reg.dat,

AddRemove-21_Searsburg.reg.dat,

AddRemove-22_WiBro_WiMAX.reg.dat,

AddRemove-24_flashusbdriver.reg.dat,

AddRemove-25_escape.reg.dat,

AddRemove-АвтоПоновлювач ОПЗ (OPZ).reg.dat,

catchme.log,

D0000.vir,

D0000.vir,

igfxtray.dat.vir,

jni.dll.vir,

key.bin.vir,

Legacy_NETWORK_ADAPTER_EVENTS.reg.dat,

M0000.vir,

msmqinst.log.vir,

regopt.log.vir,

Service_Network Adapter Events.reg.dat,

tcpip.reg,

uid.txt.vir

 

Файлы в процессе обработки.

 

CliSecureRT.dll.vir,

muzapp.exe.vir,

Notify-WgaLogon.reg.dat,

odbcad32.exe.vir,

s0000.vir,

S0000.vir,

S0000.vir,

sqlite3.dll.vir,

Toolbar-ITBar7Position.reg.dat,

winscard32.dll.vir,

wjver.dat.vir,

Пузыри.scr.vir

 

Вредоносный код в файлах не обнаружен.

 

copy.dat.vir,

ieunitdrf.inf.vir

 

Файлы нулевой длины.

[Roman_Five 598]

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Tiare 183]

HarleyDavidson, удалите C:\plg.txt

 

Меняйте все важные пароли, особенно от банковских аккаунтов (платежных систем).

 

Перестали работать некоторые программы.

уточните, что именно не работает. После выполнения всех вышеперечисленных рекомендаций проблема наблюдается?

 

 

Лог RSIT прикрепили старый, переделайте.

Изменено 8 февраля, 2012 пользователем Tiare

[HarleyDavidson 1]

Здравствуйте, уважаемые.

 

Все сделал как Вы просили. Файлы прикрепляю. Новые логи RIST там же.

 

Некоторые программы пришлось сносить и заново устанавливать. Гугл хром заработал.

mbam_log_2012_02_09__11_02_08_.txt

ComboFix.txt

log.txt

Изменено 9 февраля, 2012 пользователем HarleyDavidson

[icotonev 57]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

 

KillAll::

FCopy::
C:\WINDOWS\system32\dllcache\winscard.dll | c:\windows\system32\winscard.dll

File::
C:\WINDOWS\system32\xtgina.dll

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.