[Лог?] Digeste.dll какой-то вирус

[Shm]

Начну из далека.

Меньше года назад был куплен антивир касперского с лицензеей на три компа. Но мне был куплен на ДР новый комп и поставлена новая система, старый был распатрашён на винчестеры и прочую лабуду. И лицензионный Касперский остался на нерабочей машине. На новую я так его и не поставил, тк не знал будут ли проблемы с регистрацией лицензии (уже три лицензии должны были быть зарегестрированны)

Вся защита у компа была отключена , тк брэндмауэр постоянно лезет и что то обновляет без маего ведома, а я не знаю лицензионный ли у меня виндоус. Короче пол года комп проработал нормально и главное быстро без всяких антивиров и защит....

Но всё же комп заразился какимто трояном и теперь либо синий экран если ставлю автоматическая перезагрузку при сбое системы отменить или псстоянная перезагрузка. И ногда успеваю нажать cntrl+alt+del ну чаще загрузка не завешается.

У меня winXP SP2

Описание:

Позваляет загрузится в защищённом режиме (с него и пмишу)

Сначало выдавал сообщение из разных exe файлов

приложение *.exe

digeste.dll что то там не является приложением WIN NT (((

Я переименовал эту библиотеку сообщение пропало но синний экран не изчез(помимо этого я удалил пару записей в которых упоменалось digeste.dll в реестре , при помощи regedit + cntrl F)

msconfig - во вкладке авто загрузка не знакомые мне процессы снял галки с подозрительных

(мне показались подозрительными

c:\windows\system32\leafsi.exe \u

c:\windows\cjtpkmpc\exe

c:\windows\system32\ctfmon.exe

иещё несколько....

)

 

Мой каспер 2007 не хочет ставится а загрузится в норм режиме не могу.

Переустановка виндовса не помогает (3 раза переустанавливал ) - теже яйца только в профиль- комп перезагружается нонстопом при загрузке при первом входе(наверно если я отформатирую диск ц всё починится но - не хочется этого делать я забыл как сеть настраивать (( ).

 

посоветуйте что сделать ?

кстати как поступить с лицензионным каспером2007 который уже зарегестрирован на трёх машинах (но на одной я хочу отменить регистрацию и машина то сама разобрана )

Изменено 25 января, 2009 пользователем wise-wistful

[ТроПа]

Сообщение от модератора wise-wistful

Тема перемещена из раздела Компьютерная помощь

Для начала борьбы с вирусами выполните логи, как написано в этой теме.

Изменено 25 января, 2009 пользователем wise-wistful

[Shm]

вот такие логи получились см в самом низу

Онлайн Касперский сказал следующее:

 

--------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 15:47:06

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1693487

 

Параметры проверки

Проверять, используя следующий набор антивирусных баз расширенный набор

Проверять архивы да

Проверять почтовые базы да

 

Объект проверки Оперативная Память

 

 

Результаты проверки

Всего проверено объектов 1161

Найдено вирусов 3

Найдено зараженных объектов 21

Найдено подозрительных объектов 0

Время проверки 00:00:17

 

Имя зараженного объекта Имя вируса Последнее действие

[0] [system Process] => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[676] winlogon.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[676] winlogon.exe => C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить

 

[728] services.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[740] lsass.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[888] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[944] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1152] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1180] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1288] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1740] Explorer.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[808] TimeZero.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1468] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[272] magent.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1432] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[156] rundll32.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[980] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

[980] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1344] ps.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[184] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

[184] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

Проверка завершена.

 

--------------------------------------

 

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 15:46:09

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1693487

 

 

Параметры проверки

Проверять, используя следующий набор антивирусных баз расширенный набор

Проверять архивы да

Проверять почтовые базы да

 

Объект проверки Важные объекты

C:\WINDOWS

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\

 

Результаты проверки

Всего проверено объектов 12457

Найдено вирусов 9

Найдено зараженных объектов 12

Найдено подозрительных объектов 0

Время проверки 00:04:34

 

Имя зараженного объекта Имя вируса Последнее действие

C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить

 

C:\WINDOWS\system32\drivers\systemntmi.sys Зараженный объект: Rootkit.Win32.Agent.grg пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить

 

C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить

 

C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить

 

C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить

 

C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить

 

C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить

 

C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

 

C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить

 

C:\WINDOWS\system32\cssrss.exe Зараженный объект: Trojan.Win32.Agent2.xn пропустить

 

C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить

 

C:\WINDOWS\cjtpkmpc.exe Зараженный объект: Trojan-Downloader.Win32.Small.agbh пропустить

 

C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

 

C:\WINDOWS\CSC\00000001 Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Cookies\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\MSHist012009012520090126\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\~DF3D70.tmp Объект заблокирован пропустить

 

Проверка завершена.

-----------------------------------------------------

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 25 января, 2009 пользователем Shm

[Falcon]

Выполнить в AVZ следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ethvryxs');
DeleteService('gdrv');
DeleteService('systemntmi');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\mmmkwnkw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ethvryxs.sys');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
DeleteFile('C:\Documents and Settings\Администратор\ash.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportDeletedList;
BC_DeleteSvc('ethvryxs ');
BC_DeleteSvc('gdrv ');
BC_DeleteSvc('systemntmi ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем пофиксить через HJT:

O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkwnkw.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

Логи повторить.

Изменено 25 января, 2009 пользователем Falcon

[Shm]

1) Большое спасибо за помощь.

Смог загрузится. ТОлько теперь грузится учётная запись созданная при переустановке Windows (я её назвал SHM а не учётная запись под названием Администратор не знаю правда как сделать чтобы грузилась учётная запись Администратор в папке document and settings папка Администратор есть ....)

В IE explorer грузитчся сверху какаято бяка - картинка gif c уродством каким то и спредложением отправить смс на номер 3649 с текстом .... ну вообще IE explorer работает плохо((( например на форум пишу с другого браузера... с IE explorer написать не смог расширенная форма ответа не хотела работать

Спасибо всем если есть чего подсказать с удовольствием выслушаю совет, ещё раз спасибо

-------------------------------------------------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 19:54:07

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1694764

-------------------------------------------------------------------------------

 

Параметры проверки:

Проверять, используя следующий набор антивирусных баз: расширенный набор

Проверять архивы: да

Проверять почтовые базы: да

 

Объект проверки - Важные объекты:

C:\WINDOWS

C:\DOCUME~1\Shm\LOCALS~1\Temp\

 

Результаты проверки:

Всего проверено объектов: 10449

Найдено вирусов: 5

Найдено зараженных объектов: 8

Найдено подозрительных объектов: 0

Время проверки: 00:04:02

 

Имя зараженного объекта / Имя вируса / Последнее действие

C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить

C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить

C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить

C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\edbtmp.log Объект заблокирован пропустить

C:\WINDOWS\system32\h323log.txt Объект заблокирован пропустить

C:\WINDOWS\system32\log.txt Объект заблокирован пропустить

C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить

C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить

C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Temp\2430.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Temp\atchksrv.log Объект заблокирован пропустить

C:\WINDOWS\Temp\atchk.log Объект заблокирован пропустить

C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить

C:\WINDOWS\Sti_Trace.log Объект заблокирован пропустить

C:\WINDOWS\wiaservc.log Объект заблокирован пропустить

C:\WINDOWS\wiadebug.log Объект заблокирован пропустить

C:\WINDOWS\WindowsUpdate.log Объект заблокирован пропустить

C:\WINDOWS\SchedLgU.Txt Объект заблокирован пропустить

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Объект заблокирован пропустить

C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

 

Проверка завершена.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

C:\Documents and Settings\Администратор\ash.exe - проверьте на http://www.virustotal.com/ru/ дайте ссылку на результат проверки.

 

Очистите папки содержащие временные файлы.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

Повторите логи.

 

Онлайн сканирвоание проводить не обязательно.