Троян в папке Drivers

[rumek]

Доброй ночи ! У меня такая проблемма заразили флешку 15.09.2008 20:29:58 Real-time file system protection file H:\= ПОРНО ВИДЕО =\Электрошок\ВИДЕО - Электрошок.exe Win32/PornRun.B worm NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE. не знаю правильно ли я это описал . После очистки флешки антивирусом я пользуюсь NOD 32 версия 3.0.560 базы обновляю регулярно . флешка перестала отвечать на запросы пришлось форматировать не помогло пришлось использовать спец софт для лечения всё вроде норм. НО теперь при каждой перезагрузке системы антивирь находит вирус постоянно с разным именем но всегда в одной и той же папке Drivers например: C:\WINDOWS\System32\drivers\Cio16.sys Win32/Wigon.ER trojan \?\C:\WINDOWS\System32\svchost.exe. или 17.09.2008 9:57:06 Real-time file system protection file C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY trojan C:\WINDOWS\System32\svchost.exe. и так до бесконечности перестал работать IE плохо работает OPERA страници открываются медленно а менеджер заакачек качает с нормальной скоростью . Пользовательское сканирование никаких результатов не приносит .Конечно можно сделать откат Acronis или переставить систему но это слишком просто .Помогите

hijackthis.rarПолучение информации...

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

[ТроПа]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ygl38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pub17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cio16.sys','');
QuarantineFile('c:\windows\system32\cpl32ver.exe','');
TerminateProcessByName('c:\windows\system32\cpl32ver.exe');
DeleteFile('c:\windows\system32\cpl32ver.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Cio16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pub17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ygl38.sys');
BC_ImportAll;
BC_DeleteSvc('Cio16');
BC_DeleteSvc('Pvc85');
BC_DeleteSvc('Pub17');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ygl38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

В АВЗ выполните:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Пришлите quarantine.zip из папки с АВЗ - на адрес 54712@rambler.ru в письме укажите ссылку на тему.

 

Повторите логи.

Изменено 18 сентября, 2008 пользователем wise-wistful

[Олег777]

Здравствуйте!

А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт?

Я бы Вам посоветовал скачать бесплатную лечащую утилиту отсюда:

 

http://dnl-eu12.kaspersky-labs.com/devbuilds/AVPTool/

 

И проверить с помощью неё компьютер из Безопасного режима.

Ну и, в дальнейшем, переходите на продукцию ЛК.

Если Вы зарегистрированный лицензионный пользователь нод32, то переход на антивирус касперского будет для Вас с 50% скидкой!

[akoK]

  Цитата

А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт?

Можно предположить, что у них с поддержкой туго.

[rumek]

WIse-wistful большое человеческое спасибо ! За помощь и участие ! Выполнил все твои указания вроде заработало отлично ! Выкладываю новые логи если есть пара свободных минут несколько слов о способах заражения. Еще раз СПАСИБО !

hijackthis.rarПолучение информации...

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

[Falcon]

Это что такое?

C:\Documents and Settings\Виталик\Local Settings\Application Data\CyberDefender\cdmyidd.dll

C:\WINDOWS\system32\Drivers\appdrv01.sys

 

P.S. Модуль MyCentria выжил.

Изменено 18 сентября, 2008 пользователем Falcon

[ТроПа]

Ещё не всё.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oub52.sys','');
QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll','');
DeleteFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Oub52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys');
BC_ImportAll;
BC_DeleteSvc('Oub52');
BC_DeleteSvc('Vdj06');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus.

 

 

2.Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

 

Повторите логи.

[rumek]

Всё сделал по пунктам как Вы сказали WISE-WISTFUL жду !

hijackthis.rarПолучение информации...

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

[Гриша]

В логах чисто,жалобы есть?

[rumek]

Огромное Вам спасибо всем кто участвовал в операции по"Спасению " моего компа !! Отдельное СПАСИБО wise-wistful за небезразличное отношение ! Спасибо всё работает !

[Олег777]

А мне вот интересно: вы по-прежнему пользуетесь ESET NOD32 или убедились на собственном опыте, что не такой-то он и надежный и решили переходить на продукцию Лаборатории Касперского? Честно, чисто спортивный интерес...

[rumek]

Олег777 Всё не итак просто как кажется на первый взгляд . Я не оспариваю отличной работы Лаборратории Касперского и её програмного обеспечения .Но преимущество очевидно , только в чём ? В способностях и умении отдельных Людей которые проявили интерес к решению проблеммы я имею ввиду : wise-wistful, Гриша, Falcon . но ведь сам по себе AVZ не нашол проблему без спец скриптов .Олег777 я надеюсь, что я не вызвал у Вас раздражение своим ответом ?( Пробовал я у меня машина тупит и виснет , мощьный он слишком )

[Kapral]

Т.е. при установке КИС2009 наблюдаются тормоза на компе?

А какой конфигурации компьютер?

Возможно мы сможем настроить на нормальной работы, поверьте опыт у нас в этом богатый