Решена - Троян в памяти

Здравствуйте. На служебном компьютере возникла такая проблема. Нод 32 выдал, что в памяти обнаружены трояны Downloader Carberp.AD и Delf.OEW а также написал, что очистка невозможна. Также обнаружилось, что на компе отключилось восстановление системы. При попытке запустить пишет, что оно запрещено групповыми политиками, обратитесь к администратору домена, хотя раньше восстановление работало. Политику изменить не удается(((. Также перестал запускаться браузер IE. Сразу выдает сообщение об ошибке и закрывается. С другого браузера выйти в интернет тоже не удается. Возможно конечно, что и вообще провайдер заблокировал компьютер из-за вирусов, не знаю точно возможно ли это, комп. не мой. На эл. почту работнику приходило какое-то письмо после этого, но она его не прочитала а сразу удалила, так что о чем оно было, неизвестно.
Все логи здесь одним архивом
http://zalil.ru/32939502
Только к сожалению, я невнимательно прочитала инструкцию о том, что после получения архива с вирусами в AVZ, компьютер нужно было перезагрузить, а уже потом сохранять образ автозапуска. Поэтому пришлось сохранить образ автозапуска еще раз. Этот второй называется так SU26SPEC2_2012-03-24_15-00-30.TXT2
А теперь еще и по локальной сети невозможно попасть к зараженному компьютеру. Помогите, пожалуйста! Заранее спасибо.

 

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;

Код:

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec "C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE" UNINSTALL
bl 5840CB8702727C11FE496FB6637C6499 1515352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\AFONLTK81KW.DLL
bl 9FCC998E45FB546BD23BB11BBF929A5B 115240
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\AFONLTK81KW.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NF5NV6YZVNS.EXE
bl D2FDEC94291C76C36622B69C315061A3 194560
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NF5NV6YZVNS.EXE
deltmp
delnfr
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Если после перезагрузки не будет работать интернет, выполните команду в командной строке:
netsh winsock reset
Перезагрузитесь и настройте сетевой подключение заново

Если форум оказался полезен вам, пожалуйста, поддержите его работу -

 

Спасибо, все сделали в соответствии с инструкцией.
Вот лог MBAM
http://zalil.ru/32944558
А вот архив с вирусом
http://rghost.ru/download/37211331/4afabfb95fcd6cd99697c2d2e0b4472c0d0a1004/2012-03-25_14-41-37.7z
А что делать с 4 проблемами, которые были найдены при сканировании? Можно их удалять уже или оставить все как есть?
И да, интернет не работает и антивирус тоже перестал запускаться, пишет при загрузке "возникла ошибка при запуске сервисов. Анализ протоколов POP3 HTTP не функционирует"

 

в Mbam удалите все кроме этого:

выполняли команду что я выше написал?

 

Да, после netsh winsock reset все заработало. Не обновлялся только антивир. НО! Стоило мне только удалить эти "проблемы" в МВАМ, оставив только эту HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter)
как у меня возникла проблема покруче предыдущих. После перезагрузки рабочий стол перестал реагировать на курсор. Ни один ярлык не запускается. Похоже там было еще что-то чего нельзя было удалять, да? Надо было мне наверное еще сначала сделать скриншот с окна программы МВАМ, но не получилось почему-то. А теперь я честно говоря в полной растерянности, что не так сделала и можно ли это как-то исправить?

 

А что происходит при нажатии на ярлык? Попробуй повторно перезагрузиться, не должно быть проблем

 

Несколько раз уже перезагружалась. Комп запускается, антивирус, программы, все. Но рабочий стол просто не реагирует на курсор. При нажатии на ярлык ничего не происходит, впечатление такое, что комп завис, двигается только курсор, все остальное мертвое.

 

Ффух, после пятой перезагрузки рабочий стол вроде ожил, слава Богу! ))). Но что это такое было и не повторится ли опять???
Вам спасибо огромное за оперативную помощь

 

А в безопасном режиме пробовали загрузиться?

 

Нет, в безопасном не пробовала. Проблема, кстати, все таки никуда не делась. Выглядит она так. Перезагружаю комп. Винда запускается, появляется рабочий стол, значки, программы запускаются, которые в автозапуске. Сперва выскакивает окно проверка сертификата подлинности виндовс, но оно и раньше выскакивало. Почти одновременно запускается НОД 32. И вот если в этот момент я успела открыть допустим окно того же Нод, а потом закрыть, то рабочий стол не умирает, значки на курсор реагирует. Если ничего не предпринимать, то рабочий стол и значки зависают. Мышью то можно двигать сколько угодно, курсор двигается, но на щелчки ни один значок не реагирует никак, как будто комп. завис.Они даже не выделяются, просто мертвые.

 

новые логи сделайте в Безопасном режиме

 

В безопасном режиме вообще не загружается. Появляется окно входа в систему с именем пользователя, но оно абсолютно не активно, зависает так же как рабочий стол в обычном режиме, с той лишь разницей, что тут и курсор вообще не двигается. Экран входа зависает и все.

 

другие варианты загрузки пробуем - например безопасный режим с поддержкой командой строки
никакое оборудование к ПК не подключено? отключите все что можно

 

Особенно к нему ничего не подключено, кроме бесперебойника и кабеля лк.сети и инета. Мне кажется, проблема может быть как-то косвенно связана с антивирусом. Он по прежнему через инет не обновляется, хотя интернет работает. Вот сейчас мне при запуске системы удалось открыть окно Нода и рабочий стол живой, значки реагируют. Хотя может это просто совпадение. Пока не понимаю, в чем тут дело, что такое нужно запустить сразу, чтобы р.стол не сдох. Логи в МВАМ сделать или в uVS еще раз сделать образ автозапуска?

 

в uVS сделайте образ
также свежий лог HiJack

 

Все тут http://zalil.ru/32945510
Я уж не знаю, может НОД конфликтует с какой-то из программ этих сканеров?
Или я и правда ненароком что-то лишнее удалила? Кстати, МВАМ все равно выделяет эту строку HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) как вредоносную, почему?

 

потому что отключено автоматическое обновление системы

 

Ясно. Мне еще не нравится, что отключено восстановление системы. У этой сотрудницы уже была похожая проблема с вирусом в оперативной памяти. Мы тогда восстановили более раннее состояние системы и вирусы пропали. Но кое-кто из сотрудников об этом узнал. Мне интересно, этот кто-то ей специально восстановление системы заблокировал или это действие вируса? Если специально, то может восстановление как-то можно снова включить?

 

Когда все нормально будет работать - тогда и включим. То уже наверное другая проблема.
В логах все чисто.
Наверное есть смысл проверить в безопасном режиме с помощью CureIt или с LiveCD ESET, DoctorWeb

 

А где их можно скачать? Сейчас-то я уже дома. Комп. оставила включенным, а то боюсь, завтра мне его опять будет долго не загрузить. Честно говоря не уверена, что мне удастся его запустить в безопасном режиме. Там по-моему дело гораздо печальнее, чем в обычном обстоит В безопасном мне его вообще еще ни разу не удалось включить. Дальше окна входа дело пока не идет. Но я попробую завтра еще с командной строкой.
А все-таки, включенная защита в МВАМ не может быть причиной? Там по моему в разделе, где "защита включена" по умолчанию стоят галочки "запретить запуск всех файлов" или что-то в этом роде, точно не помню. Может, надо было ее удалить после того, как сделаны логи? А то она осталась установленной, защита включена и работает одновременно с Нодом.
Прошу прощения, что так много вопросов, у меня просто не всегда есть возможность выйти в инет, вот и тороплюсь все сразу спросить:d