[Лог!] Подозрение на недолеченный вирус

[sdf]

Вечер добрый.

Последние пару дней замечал за ноутбуком странное поведение, то как блокировка диспетчера задач, исходящие подключения на 192.168.0.1-255 на 455 порт и KIS7 при попытке обновления выдает что сервера обновлений не доступны, хотя пинг идет по всем направлениям.

Сейчас все тихо, но KIS временами ругается на С:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE (Win32.DsBot.vd) и тому подобное...

Прилагаю логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

 

 

hijackthis.log загружаться не хочет;(

могу скопипастить сюда, текстом.

Изменено 26 декабря, 2008 пользователем sdf

[Kapral]

Заархививируйте hijackthis.log

[sdf]

Заархививируйте hijackthis.log

 

Залил.

[Kapral]

Подождите , когда прийдут люди, которые специализируются на лечении компов

[C. Tantin]

По логам могу сказать, что отключен регедит и таскмгр, "живёт" адварь (C:\PROGRA~1\FieryAds\). А ещё зловред "живёт" в корзине и файл автозапуска его в корне диска D:. Ждём хэлперов со скриптом...

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WN2PETQZ\c123[1].exe','');
QuarantineFile('C:\9j6n1v4y8n8.exe','');
QuarantineFile('C:\windows\system32\webcheck.dll','');
QuarantineFile('D:\dist\asus eeepc\eeectl_0.2.3\eeectl.exe','');
QuarantineFile('C:\windows\system32\sti_ci.dll','');
QuarantineFile('C:\windows\system32\shell32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\dciiodrv.sys','');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\9j6n1v4y8n8.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WN2PETQZ\c123[1].exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
BC_ImportALL;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

Логи повторите.

Изменено 26 декабря, 2008 пользователем akoK

[sdf]

Пофиксить в HijackThis следующие строчки

нету такой строчки;(

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

info.zip

log.zip

 

quarantine.zip выслал.

Изменено 27 декабря, 2008 пользователем sdf

[akoK]

C:\WINDOWS\system32\drivers\dciiodrv.sys - найдите и проверьте http://www.virustotal.com/ru/

[sdf]

C:\WINDOWS\system32\drivers\dciiodrv.sys - найдите и проверьте http://www.virustotal.com/ru/

 

dciiodrv.htm

[ТроПа]

Заметил в логах, что включёно восстановление системы, отключите, что бы удалить созданные ранее, а потом включите и создасться новая, без вирусов.

Проблемы ещё наблюдаются?

[sdf]

Заметил в логах, что включёно восстановление системы, отключите, что бы удалить созданные ранее, а потом включите и создасться новая, без вирусов.

Проблемы ещё наблюдаются?

Проблема не наблюдается...KIS7 молчит, трафик на лево не идет, регедит и таскмгр работает...

 

Но, я не могу отключить восстановление системы. в Свойствах компьютера просто нет такой вкладки "Восстановление системы".

Скажите, пожалуйста, как отключить другим способом)через другое место)

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[sdf]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

что сделает этот скрипт?

 

точее уже сделал)

Изменено 28 декабря, 2008 пользователем sdf

[_Ruslan_]

судя по фукнции, она преврящает переменную RebootWindows в значение true т.е. это пита аналог тому, что ты просто отключаешь (ставишь галочку) в Восстановление системы в свойствах Мой компьютер на отключить восстановление системы))

 

прикольно конечно скриптами пользоватся, только запара это.. Что бы с этим не мучатся и создали Windows))

[sdf]

судя по фукнции, она преврящает переменную RebootWindows в значение true т.е. это пита аналог тому, что ты просто отключаешь (ставишь галочку) в Восстановление системы в свойствах Мой компьютер на отключить восстановление системы))

 

прикольно конечно скриптами пользоватся, только запара это.. Что бы с этим не мучатся и создали Windows))

судя по ЭкзекутеРепаир - выполнить восстановление) а уже потом отправить комп в ребут.имхо)