Помогите избавится от заразы [LOG+]

[Skif]

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

ыполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\localservice\application data\svcst.exe');
QuarantineFile('c:\documents and settings\localservice\application data\seres.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\bd549199.sys','');
QuarantineFile('c:\documents and settings\localservice\application data\svcst.exe','');
QuarantineFile('c:\documents and settings\localservice\application data\seres.exe','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\documents and settings\localservice\application data\seres.exe');
DeleteFile('c:\documents and settings\localservice\application data\svcst.exe');
RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe');
RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger');
RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстанов-ления

- На приглашение введите строку:

copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драй-ва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли вос-становления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного

 

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Сделайте новые логи.

Изменено 29 сентября, 2009 пользователем snifer67

[Skif]

Ответ из лаборатории

Здравствуйте, В присланном Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь.

 

braviax.exe_ Trojan-Downloader.Win32.FraudLoad.fnp

 

csrcs.exe_ Worm.Win32.AutoIt.re

 

nissan.exe_ P2P-Worm.Win32.Palevo.jaz

 

scui.cpl_ Trojan.Win32.FraudPack.unb

 

securentm.sys Rootkit.Win32.HareBot.bb

 

seres.exe_ Trojan-Downloader.Win32.FraudLoad.wsui

 

С уважением, ... Вирусный аналитик

 

сделал все как написали, пока не помогло

 

virusinfo_syscure.zipvirusinfo_syscheck.zipGmer.log

hijackthis.log

[ТроПа]

c:\documents and settings\1\Рабочий стол\zqw32duo.exe - это известно что за файл?

[Skif]

c:\documents and settings\1\Рабочий стол\zqw32duo.exe - это известно что за файл?

 

угу. Gmer

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\XP-0D409675.EXE','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3172495714-3224148924-964571591-8129\nissan.exe','');
QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\fxtdapod.sys','');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\fxtdapod.sys');
DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3172495714-3224148924-964571591-8129\nissan.exe');
DeleteFile('C:\WINDOWS\system32\XP-0D409675.EXE');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки

	O20 - AppInit_DLLs: cru629.dat

 

 

Скачайте и распакуйте в отдельную папку - Registry Search

 

Запустите утилиту.

В верхнем окне, предназначенном для поиска введите, данные, которые необходимо найти, например fystemroot

и нажмите кнопку "OK".

 

В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

 

Повторите логи.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

[Skif]

готово

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

mbam_log_2009_09_30__12_56_00_.txtRegSearch.txt

 

 

Что здесь только не стояло до меня, сейчас установил avast последнюю версию

Изменено 30 сентября, 2009 пользователем C. Tantin
убрал цитату

[ТроПа]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

1. Нажмите Пуск - Выполнить, введите regedit и нажмите ОК.

 

2. Раскрывая "плюсиками" структуру в левой части окна, найдите подраздел

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS

 

3. Щелкните его правой кнопкой мыши и выберите Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его.

 

4. Выделив данный подраздел, найдите в правой части окна параметр ImagePath, который содержит строку %fystemRoot%\system32\svchost.exe -k netsvcs, и исправьте его значение на %systemRoot%\system32\svchost.exe -k netsvcs

 

5. То же самое проделайте с подразделом

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv

 

 

Внимание! Работая с regedit, будьте предельно внимательны и аккуратны. Внесенные изменения сохраняются сразу, а возможность автоматического отката отсутствует!

Сделайте ещё раз поиск утилитой RegSearch значения fystemRoot и выложите лог.

[Skif]

RegSearch.txtlog_combofix.txt

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\Common Files\ajyhyzip.dat','');
QuarantineFile('c:\windows\system32\N2-E1089.EXE','');
QuarantineFile('c:\windows\ycir.dat','');
QuarantineFile('c:\windows\system32\Z8-7480A.EXE','');
QuarantineFile('c:\windows\system32\H8T3B3.EXE','');
QuarantineFile('c:\windows\system32\7G-E748D.EXE','');
QuarantineFile('c:\windows\system32\F62C71.EXE','');
QuarantineFile('c:\windows\system32\9W-747E2.EXE','');
QuarantineFile('c:\windows\system32\69a8c2.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.