Антивирус постоянно ловит новые трояны и черви [LOG+]

[strembob]

Здравствуйте!

 

Зашел на какой-то сайт, после чего комп сразу самостоятельно перегрузился.

После чего антивирусник ловит различные трояны, черви и прочее вредоносное ородье, я пытаюсь вручную удалять их из SYSTEM32, но они появляются снова и снова...

Упала производительность, постоянно вращается винчестер, и без остановки бежит трафик (не пойму, что качает).

А самое неприятное идет постоянное обращение к флопи приводу (с периодичностью 1 раз в 15-20 сек), я им не пользуюсь, просто остался от старых компов, а тут в системнике свободное место было. А после как поймал эту заразу хрюкающий звук включающегося флопа достал.

 

Помогите плиз...

Сообщение от модератора Falcon

Открепил файл карантина virusinfo_cure.zip, в дальнейшем, пожалуйста, не стоит его прикладывать. Спасибо.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\Drivers\utk0mtm2.sys','');
QuarantineFile('C:\WINDOWS\Temp\rdl307D.tmp.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\Temp\rdl307D.tmp.exe');
DeleteFile('C:\Temp\Documents\Слава\Application Data\Microsoft\Installer\{8DFB3904-FBDB-4C2B-AC98-20EFDD37C83D}\_9BBD95EDD09943628BD4707D81A906EF.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-682003330-1645522239-725345543-1003\Dc39\fbc1FC9.tmp');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WP02XNP5\pin[1].exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com (укажите в письме, что пароль на архив - virus).

О результате сообщите.

 

Пофиксите:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Выполните скрипт в AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

ПК перезагрузится.

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

-> Это вам знакомо?

 

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

 

Также ждем новые логи AVZ и HJT.

[strembob]

Доброго времени суток!

 

Все что Вы говорили выполнил.

 

Единственное Gmer удалось завершить только на четвертой попытке, до этого он просто работал несколько минут и система просто начисто зависала (приходилось делать грубую презагрузку), да и то, после завершения работы Gmer систему пришлось перезагрузить, так как при запуске лубого приложения система выдавала сообщение, что не хватает оперативной памяти (до конца даже не уверен Gmer оработал коректно).

 

Та картинка с вопросом "Вам это знакомо?", что выв мне прислали - это скорее всего то, что я пользуюсь итернет браузером google chrome...

 

После выполненных скриптов обращения к флопу исчезли,

Но в основном моеню google chrome и при нажатии правой клавиши мыши в поле браузера пропал русский шрифт - теперь всё на английском.

И сегодня снова антивирусник зафиксироал трояны:

utk0mtm2.sys - Windows\system\drivers\

avz_1468_1.tmp - Local Settings\Temp\

 

Вот снова высылаю Вам информацию о системе и те файлы которые Вы просили.

 

 

Кстати сайт на котором я поймал эту заразу вот:

_//autobazar.od.ua[/url]

 

Сообщение от модератора wise-wistful

Удалил карантин из темы. Его не нужно прикреплять к сообщению

Строгое предупреждение от модератора Falcon

Пожалуйста, не нужно постить гиперссылку на подобного рода сайты. Обезвредил.

Gmer.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Вредоносные ссылки и объекты (в данном случае файл карантина) выкладывать нельзя

 

utk0mtm2.sys - не троян. Это от AVZ

На время подготовки логов и выполнения скриптов антивирус нужно отключать, как и другое защитное ПО, которое может помешать выполнению скриптов.

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
QuarantineFile('C:\DOCUME~1\7631~1\APPLIC~1\Aldea\Aldea.dll','');
DeleteFile('C:\DOCUME~1\7631~1\APPLIC~1\Aldea\Aldea.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи

Изменено 23 мая, 2009 пользователем thyrex

[strembob]

Здравствуйте!

 

Карантин отправил...

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Еще раз обращаю внимание

На время подготовки логов и выполнения скриптов антивирус нужно отключать, как и другое защитное ПО, которое может помешать выполнению скриптов.

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
DeleteService('NAL');
DeleteFile('C:\WINDOWS\system32\Drivers\iqvw32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи

[strembob]

А я его блокирую, а он почему продолжает работать и препятствовать AVZ, причем в трее отображается, что временно не активен антивирусник не фаервол.

У меня Symantec.

Если подскажете как это сделать по другому, или как он называется в диспетчере задач, то я его отрублю на время выполнения скриптов совсем.

[Apollon]

Если подскажете как это сделать по другому, или как он называется в диспетчере задач, то я его отрублю на время выполнения скриптов совсем.

Здраствуйте! К сожалению данный продукт, как и други Антивирусные продукты имеют функцию самозащиты, так что в диспечере задач вам не удасться его отключить.

Зайдите в настройки в них должна быть галочка рядом со строкой самозащита продука(Антивируса) - отключите его, после чего через трей рядом с часами находится значок трея, нажмите правой там должна быть строчка выйти(отключить) Антивирус.

Попробуйте. Ответ напишите.

[strembob]

Вы знаете и так тоже я делал.

Все равно пока идет процесс сбора информации AVZ эта галочка самостоятельно отключается и антивирусник вновь начинает работать.

Может можно завершить какие-то процессы в диспетчере задач связанные с Symantec?

Вот только знать бы какие?

[akoK]

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WP02XNP5\pin[1].exe - Trojan.Win32.Buzus.baul

C:\WINDOWS\Temp\rdl307D.tmp.exe - Trojan.Win32.Buzus.baul

C:\Program Files\Microsoft Common\svchost.exe - Worm.Win32.AutoRun.ajq

[strembob]

Давайте еще раз попробуем сделать логи.

Может получиться.

По почте еще раз карантин...

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Что с проблемой?

[strembob]

Ну покапался в настройках, нашел автоматическое включение Симантек антивируса после отключениения, полностью его отключить нельзя, но период автоматического включения можно увеличить с 3 мин до 1 часа.

Возможно получилось создать логи правильно, по крайней мере Симантек не ругался.

Жду, что Вы скажете после проверки.

 

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WP02XNP5\pin[1].exe - Trojan.Win32.Buzus.baul

C:\WINDOWS\Temp\rdl307D.tmp.exe - Trojan.Win32.Buzus.baul

C:\Program Files\Microsoft Common\svchost.exe - Worm.Win32.AutoRun.ajq

 

Это содержится у меня?

Изменено 26 мая, 2009 пользователем strembob

[Falcon]

Это было удалено в процессе лечения.

[strembob]

Понятно.

 

Ну теперь получилось с логами?