[Farger]

Здравствуйте,

Сейчас посмотрю логи.

[Farger]

Файлы C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe и C:\WINDOWS\services.exe
проверьте на virustotal и дайте ссылку на результат.

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('91.207.7.234/spm/get_id.php</PRE>from this cache until you have authenticated yourself.</P><P>You need to use Netscape version 2.0 or greater','');
QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('91.207.7.234/spm/get_id.php</PRE>from this cache until you have authenticated yourself.</P><P>You need to use Netscape version 2.0 or greater');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2000438662-3358906171-3434627317-1173\Software\Microsoft\Windows\CurrentVersion\Run','services');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2000438662-3358906171-3434627317-1173\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Подготовьте и прикрепите HiJackThis лог.

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

[SolarSpark]

В догонку

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\windows\system32\drivers\rk_remover.sys','');
 QuarantineFile('C:\WINDOWS\services.exe','');
  QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
  DeleteFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe');
 DeleteFile('C:\WINDOWS\services.exe');
  DeleteFile('c:\windows\system32\drivers\rk_remover.sys');
 DeleteService('rk_remover-boot');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
BC_DeleteSvc('rk_remover-boot');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

а также
Обновите Internet Explorer до IE8 даже если им не пользуетесь.

Обновляем систему до SP3. Service Pack 3 (может потребоваться активация)

Скачайте и установите критические обновления windows

[subword]

Farger
Отчет VirusTotal на файл igfxtray.exe
C:\WINDOWS\services.exe такого файла нет. Это на него ссылка в реестре осталась.
ATF Cleaner и скрипты AVZ выполнил.
Отчет Лаборатии Касперского на файл карантина:

Цитата:

Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. bcqr00003.dat, bcqr00004.dat, igfxtray.exe No malicious code were found in these files. Best Regards, Kaspersky Lab "10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

Все логи прилагаю.

[subword]

SolarSpark,

Цитата SolarSpark:

QuarantineFile('c:\windows\system32\drivers\rk_remover.sys',''); »

Это драйвер RootKit unhooker от Sysinternals.

Цитата SolarSpark:

QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe',''); »

Это файл висел в трее и дает доступ к настройкам встроенного видео Intel.

Цитата SolarSpark:

DeleteFile('C:\WINDOWS\services.exe'); »

Как я сказал выше этого файла давно нет.

Цитата:

Обновите Internet Explorer до IE8 даже если им не пользуетесь. Обновляем систему до SP3. Service Pack 3 (может потребоваться активация) Скачайте и установите критические обновления windows

Обязательно сделаю как только разберусь в svchost.

[Farger]

Цитата:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.2 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*;http://192.168.0.2;http://192.168.0.230;<local>

Вашы настройки?

Цитата subword:

Это файл висел в трее и дает доступ к настройкам встроенного видео Intel. »

Вы сами его туда прописали?

Запустите еще раз MBAM, проведите полное сканирование, отметьте эти строкт, нажмите "Remove selected"

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.


Зараженные папки:
c:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.

Зараженные файлы:
c:\WINDOWS\inf\vvt.pnf (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\twain_32\000AB13E.uf (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\user(2).ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.

[subword]

Farger,
Спасибо вам огромное. После очистки МВАМ процесс svchost от имени пользователя пропал и стало все нормально.

[zirreX]

Сохраните текст ниже в блокноте с расширением .reg. Запустите и подтвердите внесение информации в реестр.

Код:

Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\services]

В обязательном порядке:
Установите Service Pack 3 (потребуется активация).

Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь.

Adobe Acrobat 8 Professional обновите до последней версии или деинсталлируйте!

Обновите Adobe Flash Player до последней версии

[Farger]

Пожалуйста

Цитата subword:

Это файл висел в трее и дает доступ к настройкам встроенного видео Intel. »

Вы сами его туда прописали?

Если проблем больше нет, тогда:

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!