Вирус [LOG!]

[sdf]

В очередной раз обращаюсь за помощью)

КИС7 не обновляется, отключено отображение скрытых файлов, через Far в корнях дисков просматриваются скрытые левые bat, exe и autorun.inf файлы, ЕХЕшники периодично пытаются вползти в eхplorer.exe.КИС блокирует вроде. сначала подумал на kido, но в реестре чисто, где обычно кидо сидит, и кидокиллер не нашел ничего...;(

AVZ находит в папке system32 *.dll'ки, говорит что они перехватывают мышь и клаву, и дает 0.56% вероятности что они вредоносные.

Восстановление системы не могу отключить, там где оно у всех есть - у меня его там нету, а через реестр както тоже не получается...;(

Логи прилагаю

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

вроде ничего не забыл...

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('dciiodrv', 4);
QuarantineFile('C:\windows\system32\webcheck.dll','');
QuarantineFile('C:\windows\system32\shell32.dll','');
QuarantineFile('C:\windows\system32\olhrwef.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dciiodrv.sys','');
QuarantineFile('C:\windows\system32\nmdfgds2.dll','');
QuarantineFile('d:\program files\eeectl\eeectl.exe','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\windows\system32\nmdfgds2.dll');
DeleteFile('C:\WINDOWS\system32\drivers\dciiodrv.sys');
DeleteFile('C:\windows\system32\olhrwef.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\lad.bat');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\lad.bat');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\lad.bat');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteService('dciiodrv');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

B повторите логи.

[sdf]

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

 

Карантин выслал на почту.

 

Лог mbam:

Malwarebytes' Anti-Malware 1.36

Версия базы данных: 2178

Windows 5.1.2600 Service Pack 2

 

26.05.2009 13:30:08

mbam-log-2009-05-26 (13-30-08).txt

 

Тип проверки: Полная (C:\|D:\|E:\|)

Проверено объектов: 90972

Прошло времени: 26 minute(s), 55 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 1

Заражено значений реестра: 1

Заражено параметров реестра: 1

Заражено папок: 0

Заражено файлов: 5

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Trojan.Dropper) -> Quarantined and deleted successfully.

 

Заражено значений реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

 

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

C:\Program Files\MyCentria\MyCentriaUninstall.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\ukvr.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully.

E:\antivir\avz4\Infected\2009-05-20\avz00001.dta (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.36

Версия базы данных: 2178

Windows 5.1.2600 Service Pack 2

 

26.05.2009 13:30:08

mbam-log-2009-05-26 (13-30-08).txt

 

Тип проверки: Полная (C:\|D:\|E:\|)

Проверено объектов: 90972

Прошло времени: 26 minute(s), 55 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 1

Заражено значений реестра: 1

Заражено параметров реестра: 1

Заражено папок: 0

Заражено файлов: 5

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Trojan.Dropper) -> Quarantined and deleted successfully.

 

Заражено значений реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

 

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

C:\Program Files\MyCentria\MyCentriaUninstall.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\ukvr.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully.

E:\antivir\avz4\Infected\2009-05-20\avz00001.dta (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.

Изменено 26 мая, 2009 пользователем sdf

[akoK]

C:\windows\system32\nmdfgds2.dll - Trojan-GameThief.Win32.Magania.bdnc

C:\windows\system32\olhrwef.exe - Trojan-GameThief.Win32.Magania.bdem

 

Проверьте на www.virustotal.com

 

C:\windows\system32\drivers\dciiodrv.sys

C:\windows\system32\services.exe

C:\windows\System32\svchost.exe

[sdf]

C:\windows\system32\nmdfgds2.dll - Trojan-GameThief.Win32.Magania.bdnc

C:\windows\system32\olhrwef.exe - Trojan-GameThief.Win32.Magania.bdem

 

Проверьте на www.virustotal.com

 

C:\windows\system32\drivers\dciiodrv.sys

C:\windows\system32\services.exe

C:\windows\System32\svchost.exe

 

C:\windows\system32\services.exe - eSafe определил как Win32.Banker.

остальные чистые.

 

что делать то? в корне C и D опять ЕХЕшники рандомнэйм.

[Apollon]

что делать то? в корне C и D опять ЕХЕшники рандомнэйм.

Здраствуйте! Ну как что ?) выполняем правила

[sdf]

Здраствуйте! Ну как что ?) выполняем правила

 

я кажется выполнил, выложил все нужные логи и описание проблемы, мне ответили, результат не очень радует.выложить новые логи? так не просили вроде бы...или это мне самому домыслить надо?

[Falcon]

Да, нужен свежий комплект логов.

[akoK]

что делать то? в корне C и D опять ЕХЕшники рандомнэйм.

Флешку вставляли?

[sdf]

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Флэшку вставлял, но предварительно чистил ее на другом ПК КИС7ым.

Изменено 27 мая, 2009 пользователем sdf

[ТроПа]

Что - то в логах не видно их.

В АВЗ включите AVZPM и сделайте новый комплект логов.