Worm.Win32.Autorun.FTP [OK]

[lirik]

Столкнулся с вирусом worm.win32.autorun.ftp, kis его находит в папках C:\windows\system32\drivers под именем sysdrv32.sys или C:\System Volume Information\_restore{98E112AC-941E-4551-891E-C66C51214A54}\RP1 под именем A0000024 (последние 2 цифры могут меняться) и говорит о спец. процедуре лечения с перезагрузкой, но после перезагрузки вирь появляется снова при полной проверке, то в одном экз. то в в двух.

Кроме того кажд. день появляются вирусы:

HEUR: Trojan.Win32.Generic в папке C:\System Volume Information\_restore{98E112AC-941E-4551-891E-C66C51214A54}\RP1 по именем 21.scr (цифры также варьируются).

backdoor.Win32.Rbot.kpv в папке C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TSSFCDLL под именем x Х[1]

Ну и еще пара вирусов, появляются как я говорил кажд. день. Обновления сегодняшние, откуда беруться вирусы я не знаю. В безопасном режиме та же картина хоть каспером 2009 хоть курейтом. Прошу помощи убить "гадов".

[INC®]

Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698

[lirik]

вот логи, че то почитал чего они там пишут...ужаснулся наверное

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system\dllcache.exe');
QuarantineFile('c:\windows\system\dllcache.exe','');
DeleteFile('c:\windows\system\dllcache.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip отправьте на newvirus@kaspersky.com

Ответ сообщите.

 

Повторите логи

[lirik]

скрипты выполнил, архив гада скинул, повторяю логи. После выполнения скриптов и последующих проводимых 2-х проверках kis 2009 все равно вылезают вири: worm.win32.autorun.ftp и worm.win32.autorun.fvv в папках C:\windows\system32 и C:\System Volume Information\_restore..../ все находится и лечится, но при след. загрузке снова появляются, как будто "рожает" их кто то. Сдается мне что скрипт помог (спасибо кстати за него), но не на все 100%. Может еще есть способ добить "гадов"?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

В каких файлах из папки C:\windows\system32 находит вирусы?

 

Пофиксить в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.

[lirik]

опять проверил новыми базами kis 2009 и вот чего нашел:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LYQFMNRG - Trojan. Win32.Buzus.axin файл x [1]- 2 шт.

 

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QXSB0PQR - backdoor.Win32.Agent.agnr файл x [1] и файл x [2]

 

C:\Documents and Settings\Kiril\Рабочий стол\avz4\Quarantine\2009-05-18 - backdoor.Win32.Agent.agnr файл avz00001.dta

 

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LYQFMNRG - backdoor.Win32.Agent.agnr файл n6[1].txt

 

C:\WINDOWS\system32- HEUR: Trojan.Win32.Generic – 3 шт. 87.scr (цифры варьируются).

 

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QXSB0PQR - HEUR: Trojan.Win32.Generic файл x [1]

 

третье вроде как в карантине, на всякий случ тож указал.

логи прилагаю, все сделал по инструкции.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Запакуйте файлы ComboFix и Gmer в один архив.

[lirik]

после рекомендаций thyrex уже 2 дня ничего нет, правда 1 раз "ломался" Generic host process for win32 services (признаки вируса, его последствия или злоупотребление торентами, последним не пользуюсь). ATF Cleaner и ComboFix не пользовался пока, жду контрольных пару дней, может без них обойдусь. Спасибо за помощь всем. Для общего развития расскажите, что у меня было примерно, чтоб в последствии вслепую не тыкаться.

[ТроПа]

quarantine.zip отправьте на newvirus@kaspersky.com

Вы это делали? Ответ получили?

[lirik]

Здравствуйте,

 

dllcache.exe_ - Backdoor.Win32.Agent.agnr

 

Детектирование файла будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

 

--

С уважением, ********

Вирусный аналитик Лаборатории Касперского.

 

 

Меня интересует откуда снова и снова появлялись разные вирусы.

Сообщение от модератора Falcon

Убрал данные вирусного аналитика.

[Alex56]

Проблема еще актуальна?

[dctr]

еще как актуально .. у меня все тоже самое .. постоянно появляются все эти вирусы .. как будто где то засела свиноматка .. касперыч не справляется (

[thyrex]

dctr, если у Вас такая же проблема, тогда создайте свою новую тему, выполните правила оказания помощи (ссылка есть у меня в подписи), сделайте логи и прикрепите их к своему сообщению.

Вмешательство в чужую тему со своими проблемами может привести к путанице.

[lirik]

Пока все тихо, еще раз спасибо за помощь.