[Лог?] Digeste.dll какой-то вирус

25 января, 2009

Начну из далека.

Меньше года назад был куплен антивир касперского с лицензеей на три компа. Но мне был куплен на ДР новый комп и поставлена новая система, старый был распатрашён на винчестеры и прочую лабуду. И лицензионный Касперский остался на нерабочей машине. На новую я так его и не поставил, тк не знал будут ли проблемы с регистрацией лицензии (уже три лицензии должны были быть зарегестрированны)

Вся защита у компа была отключена , тк брэндмауэр постоянно лезет и что то обновляет без маего ведома, а я не знаю лицензионный ли у меня виндоус. Короче пол года комп проработал нормально и главное быстро без всяких антивиров и защит....

Но всё же комп заразился какимто трояном и теперь либо синий экран если ставлю автоматическая перезагрузку при сбое системы отменить или псстоянная перезагрузка. И ногда успеваю нажать cntrl+alt+del ну чаще загрузка не завешается.

У меня winXP SP2

Описание:

Позваляет загрузится в защищённом режиме (с него и пмишу)

Сначало выдавал сообщение из разных exe файлов

приложение *.exe

digeste.dll что то там не является приложением WIN NT (((

Я переименовал эту библиотеку сообщение пропало но синний экран не изчез(помимо этого я удалил пару записей в которых упоменалось digeste.dll в реестре , при помощи regedit + cntrl F)

msconfig - во вкладке авто загрузка не знакомые мне процессы снял галки с подозрительных

(мне показались подозрительными

c:\windows\system32\leafsi.exe \u

c:\windows\cjtpkmpc\exe

c:\windows\system32\ctfmon.exe

иещё несколько....

)

Мой каспер 2007 не хочет ставится а загрузится в норм режиме не могу.

Переустановка виндовса не помогает (3 раза переустанавливал ) - теже яйца только в профиль- комп перезагружается нонстопом при загрузке при первом входе(наверно если я отформатирую диск ц всё починится но - не хочется этого делать я забыл как сеть настраивать (( ).

посоветуйте что сделать ?

кстати как поступить с лицензионным каспером2007 который уже зарегестрирован на трёх машинах (но на одной я хочу отменить регистрацию и машина то сама разобрана )

Изменено 25 января, 2009 пользователем wise-wistful

25 января, 2009

Сообщение от модератора wise-wistful

Тема перемещена из раздела Компьютерная помощь

Для начала борьбы с вирусами выполните логи, как написано в этой теме.

Изменено 25 января, 2009 пользователем wise-wistful

25 января, 2009

вот такие логи получились см в самом низу

Онлайн Касперский сказал следующее:

--------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 15:47:06

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1693487

Параметры проверки

Проверять, используя следующий набор антивирусных баз расширенный набор

Проверять архивы да

Проверять почтовые базы да

Объект проверки Оперативная Память

Результаты проверки

Всего проверено объектов 1161

Найдено вирусов 3

Найдено зараженных объектов 21

Найдено подозрительных объектов 0

Время проверки 00:00:17

Имя зараженного объекта Имя вируса Последнее действие

[0] [system Process] => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[676] winlogon.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[676] winlogon.exe => C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить

[728] services.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[740] lsass.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[888] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[944] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1152] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1180] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1288] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1740] Explorer.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[808] TimeZero.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1468] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[272] magent.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1432] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[156] rundll32.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[980] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

[980] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[1344] ps.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

[184] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

[184] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

Проверка завершена.

--------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 15:46:09

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1693487

Параметры проверки

Проверять, используя следующий набор антивирусных баз расширенный набор

Проверять архивы да

Проверять почтовые базы да

Объект проверки Важные объекты

C:\WINDOWS

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\

Результаты проверки

Всего проверено объектов 12457

Найдено вирусов 9

Найдено зараженных объектов 12

Найдено подозрительных объектов 0

Время проверки 00:04:34

Имя зараженного объекта Имя вируса Последнее действие

C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить

C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить

C:\WINDOWS\system32\drivers\systemntmi.sys Зараженный объект: Rootkit.Win32.Agent.grg пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить

C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить

C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить

C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить

C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить

C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить

C:\WINDOWS\system32\cssrss.exe Зараженный объект: Trojan.Win32.Agent2.xn пропустить

C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить

C:\WINDOWS\cjtpkmpc.exe Зараженный объект: Trojan-Downloader.Win32.Small.agbh пропустить

C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

C:\WINDOWS\CSC\00000001 Объект заблокирован пропустить

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat Объект заблокирован пропустить

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Cookies\index.dat Объект заблокирован пропустить

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\index.dat Объект заблокирован пропустить

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\MSHist012009012520090126\index.dat Объект заблокирован пропустить

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\~DF3D70.tmp Объект заблокирован пропустить

Проверка завершена.

-----------------------------------------------------

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

hijackthis.logПолучение информации...

Изменено 25 января, 2009 пользователем Shm

25 января, 2009

Выполнить в AVZ следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ethvryxs');
DeleteService('gdrv');
DeleteService('systemntmi');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\mmmkwnkw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ethvryxs.sys');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
DeleteFile('C:\Documents and Settings\Администратор\ash.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportDeletedList;
BC_DeleteSvc('ethvryxs ');
BC_DeleteSvc('gdrv ');
BC_DeleteSvc('systemntmi ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

Затем пофиксить через HJT:

O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkwnkw.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

Логи повторить.

Изменено 25 января, 2009 пользователем Falcon

25 января, 2009

1) Большое спасибо за помощь.

Смог загрузится. ТОлько теперь грузится учётная запись созданная при переустановке Windows (я её назвал SHM а не учётная запись под названием Администратор не знаю правда как сделать чтобы грузилась учётная запись Администратор в папке document and settings папка Администратор есть ....)

В IE explorer грузитчся сверху какаято бяка - картинка gif c уродством каким то и спредложением отправить смс на номер 3649 с текстом .... ну вообще IE explorer работает плохо((( например на форум пишу с другого браузера... с IE explorer написать не смог расширенная форма ответа не хотела работать

Спасибо всем если есть чего подсказать с удовольствием выслушаю совет, ещё раз спасибо

-------------------------------------------------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 19:54:07

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1694764

-------------------------------------------------------------------------------

Параметры проверки:

Проверять, используя следующий набор антивирусных баз: расширенный набор

Проверять архивы: да

Проверять почтовые базы: да

Объект проверки - Важные объекты:

C:\WINDOWS

C:\DOCUME~1\Shm\LOCALS~1\Temp\

Результаты проверки:

Всего проверено объектов: 10449

Найдено вирусов: 5

Найдено зараженных объектов: 8

Найдено подозрительных объектов: 0

Время проверки: 00:04:02

Имя зараженного объекта / Имя вируса / Последнее действие