Помогите избавиться от вредителя - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Помогите избавиться от вредителя (http://forum.oszone.net/showthread.php?t=184251)

Помогите избавиться от вредителя

Здравствуйте. При очередной загрузке системы Windows XP SP3 заметил, что не загрузился NOD32. Перезагрузка - тоже самое. Переустановил NOD - не помогло. Заподозрил вирус, попытался запустить AVZ и HijackThis - не получается, причем заметил, что они запускаются, но тут же вылетают (менял расширения и названия файлов - не помогло). Dr.WEB Cureit запустился, при быстрой проверке нашел Trojan.Packed - проблему не решило. Не заходит на многие сайты антивирусных программ. Opera 10.61 и IE8 - работают, но криво. Предположительно все это началось, тогда, когда я посетил в очередной раз lostfilm.tv - опера оповестила о том, что на сайте обнаружено вредоносное ПО, тут же автоматом запустилась java и выдала ошибку (точно не помню, но что-то типа не может запустить mp3 файл с лоста).

Вот логи Virus Removal Tool и ComboFix

Надеюсь на вашу помощь.

antiVuser, Привет.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\kkblnd.exe','');

 QuarantineFile('C:\WINDOWS\system32\bngnhs.exe','');

 QuarantineFile('C:\WINDOWS\system32\7468c763.exe','');

 QuarantineFile('C:\WINDOWS\system32\1bbcb9d4.exe','');

 DeleteFile('C:\WINDOWS\system32\1bbcb9d4.exe');

 DeleteFile('C:\WINDOWS\system32\7468c763.exe');

 DeleteFile('C:\WINDOWS\system32\bngnhs.exe');

 DeleteFile('C:\WINDOWS\system32\kkblnd.exe');

 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');

 ExecuteFile('route.exe', '-f', 0, 0, false);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Похоже ComboFix помог, AVZ и NOD пускается, протестирую систему целиком - отпишусь...

antiVuser, работаете ли вы с банковскими клиентами и прочими денежными средствам, ивебмани карты оплата по сети?

что нашли у вас

Цитата:

c:\program files\Common Files\keylog.txt
c:\program files\Common Files\WM

эти папки создает простой червь собирающий пароли

Цитата:

c:\program files\Common Files\bssrepp
c:\program files\Common Files\bssrepp\keys.zip
c:\program files\Common Files\bssrepp\public.txt

http://www.nobunkum.ru/issue003/banker-attacks/
это троян работающий с клиент банк.
Троян Ibank представляет собой шпионскую программу массового распространения, предназначенную для реализации атак на российские системы электронной коммерции. Целевые системы включают в себя популярные универсальные платформы для построения систем ДБО, системы собственной разработки отдельных банков, электронную платёжную систему WebMoney и ряд СКЗИ.

сделайте пожалуйста лог RSIT

Цитата:

Цитата Drongo

работаете ли вы с банковскими клиентами и прочими денежными средствам, ивебмани карты оплата по сети? »

Видимо, к счастью - не работаю.

Вот инфо и логи RSIT и HijackThis