Решена - VRT2d.tmp, VRT32.tmp, 282.exe -

Здравствуйте.

При включении компа появятся такие неизвестные процессы: VRT2d.tmp, VRT32.tmp, 282.exe - причем каждый раз с новыми именами,типа VRT3.tmp, но VRT в имени файла всегда есть. 25.exe - думаю что вирус.


Mbam log - http://zalil.ru/33111390
Gmer log - http://zalil.ru/33111391
UVS - http://zalil.ru/33111392
Hijackthis - http://zalil.ru/33111393

 

лог uVS не верный
делайте заново и внимательнее

 

Прошу простить ошибку с моей стороны.

Вот логи

uVS (образ автозапуска) - http://zalil.ru/33111661
Mbam log - http://zalil.ru/33111390
Gmer log - http://zalil.ru/33111391
Hijackthis - http://zalil.ru/33111393

 

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код:

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1


addsgn 71D05364A9E757FF195E43C69A457621E9EA6C756526F73F7A3C3AF7369D04B023E53585C126A1BC72016D62B9E93689974971F9912D62BCACAE423CC70653A8 8 Virus86790
addsgn 740C76534CAAC7B64A237E36ADA07E6F258A04AC30E9B7B3433F2E9750D671F8D05F83BC3D559D49BAC014DEC5FC4B7736236E97C45C5C23B6B6ABB3078B6804 16 Virus5646534
addsgn A7679B19B192CD9E9BD5AEB1379D44524F85CF09D73C1AE4D383C5BDD9E3791B63174A6A5E0CDD49A2BD88C506162D5B4DDFE872DE9ABCA76D7B2977E7862173 8 a variant of Win32/SpamTool.Tedroo.AG
addsgn A7659219B946CD9E9BD5AEB1ED28426F2575E97E08BB1FF94153C4BC50559143E2FFC11FB34872596B80AD5CCB1B27EA3DDF179126BBDC454777CE2EAD11DD66 16 Virus53453
addsgn 0DF9773A156A2670381423B52188A24525E0FC7BC1FC9F793593554345EED10C239A936CB55F160D23A8E42B762C8DF5FAAD138DAABB73A7D2222FC344EA06FE 8 a variant of Win32/Kryptik.AELC [NOD32]
addsgn 0DF94F0A156A2670381423B52188B24525E0FC7BC1FC9F79359355434596E10C239A936CB55F160D23A8E42B762C8DF5FA79148DAABB73A7D2222FC344EA76C9 8 a variant of Win32/Kryptik.AELC [NOD32]
addsgn 0DF97B3A156A2670381423B52188A24525E0FC7BC1FC9F793593554345FED10C239A936CB55F160D23A8E42B762C8DF5FA15148DAABB73A7D2222FC344EA0ECD 8 a variant of Win32/Kryptik.AELC [NOD32]
addsgn 0DF9630A156A2670381423B52188B24525E0FC7BC1FC9F793593554345DEE10C239A936CB55F160D23A8E42B762C8DF5FA75138DAABB732C2D77A42FC70622F8 8 a variant of Win32/Kryptik.AELC [NOD32]
addsgn 0DF953EA146A2670381423B52188924425E0FC7BC1FC9F793593554345DE010D239A936CB55F160D23A8E42B762C8DF5FA85148DAABB732C2D77A4A43853A99F 16 Virus
addsgn 0DF953FA146A2670381423B52188624425E0FC7BC1FC9F793593554345CE110D239A936CB55F160D23A8E42B762C8DF5FAC5148DAABB732C2D77A4A43853A99F 8 Virus687689
addsgn A7679B1991961F41C285FFE00E35435474DBADA7E1DA0F3885922DB56BD671C566EBF09E6D3DB15D6B80D5CE2C06B68F8137104855DADA2CC5929E2FC75DEBB0 16 a variant of Win32/Kryptik.WZB [NOD32]
addsgn 71905392541F468D7FF0AA599B36EDFA7CB93C3485FAD3B409DBC5BC50D6714C2317C357924D9D497790849F760E49FA7DDFE87255DAB02C076DA42FC7162273 16 Win32/TrojanProxy.Hioles.AB [NOD32]
addsgn 0DF94FAA156A2670381423B52188524525E0FC7BC1FC9F793593554345DA410C239A936CB55F160D23A8E42B762C8DF5FA35138DAABB73A7D2222FC344EA76CD 8 a variant of Win32/Kryptik.AELC [NOD32]
addsgn 0DF973AA156A2670381423B52188524525E0FC7BC1FC9F7935935543459A410C239A936CB55F160D23A8E42B762C8DF5FAA1138DAABB732C2D77A4A43853A99F 8 a variant of Win32/Kryptik.AELC [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\9IE4YTAI2A.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\UMWAKGAMPICC.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\LOCAL SETTINGS\TEMP\MSDUBMN.COM
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\9IE4YTAI2A.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\DEH3UBD.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\TXBMJKYIOG.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\APPLICATION DATA\79BB39.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\APPLICATION DATA\79BB3A.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2DYY6KK.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\70NJEE6.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\AA6MM6YJJ.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BW1SOOJAAV.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C3EEZQQLCCX.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DYY6KK6WW.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FA1WSSNOJF.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FBRRNDDT.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PLGG6SS6.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q9M1IEEZQQ.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VRHHDTTPFF.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XSS6EE6QQ6C.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\LOCAL SETTINGS\HOSTLSA.DLL
zoo %SystemDrive%\TEMP\VRT38.TMP
zoo %SystemDrive%\TEMP\S3D.TMP
zoo %SystemRoot%\EXPLORER.EXE:USERINI.EXE
zoo %Sys32%\2HMAW3.DLL
zoo %Sys32%\AY8DV5FP.DLL
zoo %Sys32%\CDOSYS.EXE
delref HTTP://PHILKA.RU
delref HTTP://WWW.PHILKA.RU
deltmp
delnfr
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\UMWAKGAMPICC.DLL
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\LOCAL SETTINGS\TEMP\MSDUBMN.COM
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\9IE4YTAI2A.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\DEH3UBD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\TXBMJKYIOG.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\APPLICATION DATA\79BB39.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\APPLICATION DATA\79BB3A.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2DYY6KK.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\70NJEE6.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\AA6MM6YJJ.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BW1SOOJAAV.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FA1WSSNOJF.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q9M1IEEZQQ.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\LOCAL SETTINGS\HOSTLSA.DLL
delmz %SystemDrive%\TEMP\VRT38.TMP
delmz %SystemDrive%\TEMP\VRT3C.TMP
delmz %SystemRoot%\EXPLORER.EXE:USERINI.EXE
delmz %Sys32%\CDOSYS.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\LOCAL SETTINGS\TEMP
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\GANY
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\LOCAL SETTINGS
adddir %SystemDrive%\TEMP
chklst
delvir
bl 48E245510D39325FE05E82E7975A407E 73728
bl 64E89403F5CFEBEB3B4ACAF813F18634 73728
bl F230A9322B819B691ADD3D2C9F383D0B 73728
bl C5065FE929B7896D2B2F790DF12A2897 322560
delall %Sys32%\DRIVERS\22B9EE507D1AC45D.SYS
delall %SystemDrive%\TEMP\S3D.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\9IE4YTAI2A.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GANY\9IE4YTAI2A.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\A6GBWX.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\2A.DLL
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки повторяем лог uVS

 

новый архив после запуска скрипта - http://rghost.ru/37691748
образ автозапуска uVS после перезагрузки - http://rghost.ru/37691762

 

Выполняем следующий скрипт:

Код:

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 1AF77A9A5582487F0BD49D7134201008258A140988FA1FBBD048293F9472F2312F15B6590D95CDB63EE397BF4DFFB1FA7DDF6B0F59D5C554AE4ABA3CE70D2207 16 a variant of Win32/Kryptik.AEBC [NOD32]
addsgn 71905392541F468D7FF0AA599B36EDFA7CB93C3485FAD3B409DBC5BC50D6714C2317C357924D9D497790849F760E49FA7DDFE87255DAB02C076DA42FC7162273 16 Win32/TrojanProxy.Hioles.AB [NOD32]
addsgn A7659219B946CD9E9BD5AEB1ED28426F2575E97E08BB1FF94153C4BC50559143E2FFC11FB34872596B80AD5CCB1B27EA3DDF179126BBDC454777CE2EAD11DD66 16 Virus53453
addsgn A7679B19B192CD9E9BD5AEB1379D44524F85CF09D73C1AE4D383C5BDD9E3791B63174A6A5E0CDD49A2BD88C506162D5B4DDFE872DE9ABCA76D7B2977E7862173 8 a variant of Win32/SpamTool.Tedroo.AG
addsgn 71D05364C51DB2FF6FF062D1E724CEEDDD89FCF6C2B07933F03F853B822E8E3F1FFECE543E558D9B646B98D17ADD0E77FFCFEB518259504445832D44FDEED470 16 vir8
addsgn A7659219B962CFB6FFBEAC10AC7A5205DA5A148F7605E0B146C3C5BC50D6714C6A7DA632583ABC0C58E2ECEF29373E900EA99C5D7499C05F4256CE40E6640306 8 Win32/Jeefo.A [NOD32]
addsgn DA2AF77F260228180BD456E9D2D4F906258AFC0A0E308FF272440FDAD146A5206317C161C094DC00AB5A9D1F948CC2353C65DED38D2746F9C662A42FC78B7069 8 Virus68423
addsgn C23D7E526DAF0D1A31BEAEB19C9294C5B56122F689FAF57585C304BC27D653630BBC3457307195D2D9B7C178DE16BED97DDFE2CD55DAB5902D53D99A3E06F78F 8 Virus5333
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\LOCAL SETTINGS\TEMP\MSDUBM.EXE
bl 06C73F7DF9081F2F6806D26CBE0D84CB 46080
bl 6666FF9A26BA2B862A1A310950B86DDF 19408
bl 21BFE76AB5363F4822C71EC2E860E109 13824
bl 5FE7DB0078528DB73FA8526149F3F7A8 88064
bl 8F0A3AE536512D19C766C8F467040E17 16384
chklst
delvir
deltmp
delnfr
bl 344035BA0BE3F3D12E576D6247EABFFD 73728
delall %SystemDrive%\TEMP\S4.TMP
bl A1FDC0A890B4AFEAE11B0B51F7546C92 49364
delall %SystemRoot%\EXPLORER.EXE:USERINI.EXE
zoo %Sys32%\USERINI.EXE
bl DB117803AA123A73D8B8E53618291FEA 49364
delref %Sys32%\2HMAW3.DLL
delref %Sys32%\AY8DV5FP.DLL
delref %Sys32%\DRIVERS\22B9EE507D1AC45D.SYS
czoo
regt 12
restart

После перезагрузки выкладываем также 2 новых архива - вирусы и новый образ

 

Синий экран во время выполнения скрипта

 

в безопасном режиме выполните скрипт
вирусы активные просто мешают

 

http://rghost.ru/37692402 - новый архив
http://rghost.ru/37692419 - новый образ

 

Уже намного лучше.
Выполняем скрипт:

После перезагрузки сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
И еще делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

 

tdss killer log - http://rghost.ru/37693383
mbam log - http://rghost.ru/37693394

 

Удаляем в Мбам все найденное.
в TDS также удаляем найденное - C:\WINDOWS\System32\Drivers\22b9ee507d1ac45d.sys
Перезагружаемся и повторяем логи

 

tdss - http://rghost.ru/37693743
mbam log - http://rghost.ru/37693837

 

Лог TDS чет маленький получился. Делайте как в первый раз и убедитесь что файл 22b9ee507d1ac45d.sys был им удален
В Mbam удалить все. Перезагрузиться. Повторить его лог и uVS

 

Извините за невнимательность, сначала не понял, но теперь разобрался - вот логи

tdss log - http://rghost.ru/37694027
mbam log - http://rghost.ru/37694042

опять облом, сейчас сделаю uVS

вот uVS - http://rghost.ru/37694128

 

Выполняем скрипт:

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
bl C55601BA20B9D2E86F122DDF261FFB26 73728
bl AD0893B2C3E5FA9D178967A425072FF3 49364
delall %SystemRoot%\EXPLORER.EXE:USERINI.EXE
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\A58G1CRY.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\A58G1CRY.DLL
delmz %SystemDrive%\TEMP\VRT6.TMP
bl F000DFC4D93B49E4F6D18A0B935E224B 88064
delall %SystemDrive%\TEMP\VRT6.TMP
bl 42301C41233F28CBE212D5F8E0A93A71 77312
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MSSOAP\PERFMSMS.DLL
regt 21
regt 18
regt 12
regt 20
regt 22
regt 17
regt 23
sreg
delref %SystemDrive%\TEMP\S8.TMP
delref %Sys32%\2JSCF2.DLL
delref %Sys32%\AUKQ5R87.DLL
areg

Затем новый лог uVS делаем, выкладываем сюда.
Потом качаем SalityKiller.exe и запускаем его. По-моему у вас еще файловое заражение присутствует. Желательно конечно в Безопасном режиме его запускать.

 

uVS log - http://rghost.ru/37694583

Sality ничего не нашел насколько я понял - было написано
Will be cured on reboot - 0
Нажмите любую клавишу для продолжения

После нажатия окно исчезло и ничего не произошло.

Проблема в том что вирусов не видно в Диспетчере задач пока я не подключаюсь к интернету. Но как только подключаюсь, то сразу активируются и в диспетчере задач - vrt3.tmp подобные процессы появятся

 

Скачайте TeamViewer. Запустите, слева будет код и пароль - вышлите в личку. Подключусь, посмотрим вместе

 

упс...

 

не получается чего-то
давай этой программой - http://www.ammyy.com/AA_v3.exe
отсюда убери код и пароль. высылать в личку надо было