Вирус DownLoader. Как вывести?

[Ly0pik]

Здравствуйте, давно борюсь с этой заразой, никак вывести не могу, уже не знаю что и делать.

Вирусня с именами: BAT.DownLoader.58, BAT/TrojanDownloader.Ftp.NOK, модифицированный Win32/ServStart.EQ...

Создаются с хаотичными именами всевозможные exe-ки в корне системного раздела, в папке windows и system32, в диспетчере задач висят процессы cmd  и ftp, десятками создаются новые учетные записи с хаотичными именами и правами администратора под паролем. Антивирусники убивают только эти вечно создающиеся exe-ки, которые опять снова и снова вылазят. В процессе своей жизнедеятельности в итоге ложится сеть, блокируются необходимые для работы программы (такие как SQL Server под управлением 1С), висит комп...

Переустановка винды не помогает, полное форматирование всех разделов перед этим тоже не помогает. Единственное, что раньше помогало - это снос всех разделов, заново разбиение и форматирование. Логично предположить, что эта зараза сидит в загрузочном секторе диска. Но сейчас уже даже и это не помогает. Уже 2 раза сносил разделы за последние 3 дня - а оно опять откуда-то лезет. Грешу на модем PeopleNet, т.к. такое наблюдается ТОЛЬКО на тех компьютерах, где он стоит, или стоял. Но его дрова и программы проверял чем только можно, - все чисто. ОС Windows XP SP3, стоит NOD32 с последними базами, также прогонял через Dr.Web CureIt, и через Kaspersky Virus Removal Tool 2015. Архив с логами в приложении. Заранее спасибо!

CollectionLog-2015.07.14-17.16.zip

[Ly0pik]

Все на столько плохо, что никто не может помочь?

[mike 1]

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

[Ly0pik]

Спасибо, что отозвались! Лог прикрепил.

Жду дальнейших указаний...

Жду дальнейших указаний...

MBAM-log-2015-07-15 (14-14-17).txt

[mike 1]

Активного заражения не видно, возможно заражен другой компьютер в локальной сети. 

[Ly0pik]

Компьютер только один, сети нет

Вот сейчас опять насоздавались exe-ки, и лезут в автозагрузку... Что делать?

опять в процессах cmd и ftp, и еще какой-то p.exe

создалась новая учетная запись

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Ly0pik]

Все, система лягла... Восстановился из образа Акрониса. Все логи вылаживаю заново.

FRST.txt

Addition.txt

CollectionLog-2015.07.16-13.29.zip

[thyrex]

Восстановились на ситуацию до "болезни"?

[Ly0pik]

Да, но он болеет всегда, даже после переустановки винды. Как правило, на второй день начнет лезть вирусня, т.е. завтра гарантировано.

[Ly0pik]

Ну вот, началось... Нод начал ловить вирусню:

 

17.07.2015 13:34:23 Защита в режиме реального времени файл C:\RECYCLER\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

17.07.2015 13:32:03 Защита в режиме реального времени файл C:\WINDOWS\system32\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

17.07.2015 13:27:19 Защита в режиме реального времени файл C:\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.

17.07.2015 13:27:18 Защита в режиме реального времени файл C:\RECYCLER\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.

17.07.2015 13:27:17 Защита в режиме реального времени файл C:\WINDOWS\system32\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.

17.07.2015 13:27:11 Защита в режиме реального времени файл C:\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.

17.07.2015 13:27:08 Защита в режиме реального времени файл C:\RECYCLER\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.

17.07.2015 13:27:06 Защита в режиме реального времени файл C:\WINDOWS\system32\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.

17.07.2015 13:26:45 Защита в режиме реального времени файл C:\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

17.07.2015 13:26:43 Защита в режиме реального времени файл C:\RECYCLER\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

17.07.2015 13:26:38 Защита в режиме реального времени файл C:\WINDOWS\system32\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

17.07.2015 13:26:21 Защита в режиме реального времени файл C:\WINDOWS\system32\us.dat BAT/TrojanDownloader.Ftp.NLV троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

Они прям сейчас дальше и дальше вылазят, иногда со скоростью несколько штук в секунду

[thyrex]

Обновления для MS SQL устанавливали или используете старье без обновлений?

[Ly0pik]

Стоит SQL Server 2000 с последним SP4.

Хочу обратить внимание, что весь этот конкретный набор программ один к одному стоит более, чем на 20 компьютерах, на всех магазинах розничной сети, но конкретно эта проблема возникала ТОЛЬКО на тех, которые подключены к интернету через модем PeopleNet. Но раньше, единственный способ, который я нашел избавиться от этой дряни - полностью снос всех разделов жесткого диска, и разбиение заново... После этого, даже далее используя этот же модем, такая проблема больше не повторялась. В данном же случае, не помогает ничего, проблема всегда появляется снова((((

[thyrex]

Ну вот я и говорю, что дырявое старье всему виной

[Ly0pik]

Да при чем тут старье? На всех других машинах, на которых не стоит PeopleNet, но стоит это "старье", то все в порядке!

Так что, никто не сможет помочь?