Skif Опубликовано 29 сентября, 2009 Поделиться Опубликовано 29 сентября, 2009 virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 29 сентября, 2009 Поделиться Опубликовано 29 сентября, 2009 (изменено) ыполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\localservice\application data\svcst.exe'); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\_scui.cpl',''); QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\bd549199.sys',''); QuarantineFile('c:\documents and settings\localservice\application data\svcst.exe',''); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\documents and settings\localservice\application data\seres.exe'); DeleteFile('c:\documents and settings\localservice\application data\svcst.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); DeleteFile('C:\WINDOWS\system32\_scui.cpl'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстанов-ления - На приглашение введите строку: copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драй-ва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли вос-становления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Сделайте новые логи. Изменено 29 сентября, 2009 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты Поделиться
Skif Опубликовано 30 сентября, 2009 Автор Поделиться Опубликовано 30 сентября, 2009 Ответ из лаборатории Здравствуйте, В присланном Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь. braviax.exe_ Trojan-Downloader.Win32.FraudLoad.fnp csrcs.exe_ Worm.Win32.AutoIt.re nissan.exe_ P2P-Worm.Win32.Palevo.jaz scui.cpl_ Trojan.Win32.FraudPack.unb securentm.sys Rootkit.Win32.HareBot.bb seres.exe_ Trojan-Downloader.Win32.FraudLoad.wsui С уважением, ... Вирусный аналитик сделал все как написали, пока не помогло virusinfo_syscure.zipvirusinfo_syscheck.zipGmer.log hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 30 сентября, 2009 Поделиться Опубликовано 30 сентября, 2009 c:\documents and settings\1\Рабочий стол\zqw32duo.exe - это известно что за файл? Ссылка на комментарий Поделиться на другие сайты Поделиться
Skif Опубликовано 30 сентября, 2009 Автор Поделиться Опубликовано 30 сентября, 2009 c:\documents and settings\1\Рабочий стол\zqw32duo.exe - это известно что за файл? угу. Gmer Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 30 сентября, 2009 Поделиться Опубликовано 30 сентября, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\XP-0D409675.EXE',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3172495714-3224148924-964571591-8129\nissan.exe',''); QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\fxtdapod.sys',''); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\fxtdapod.sys'); DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-3172495714-3224148924-964571591-8129\nissan.exe'); DeleteFile('C:\WINDOWS\system32\XP-0D409675.EXE'); DeleteFile('F:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: cru629.dat Скачайте и распакуйте в отдельную папку - Registry Search Запустите утилиту. В верхнем окне, предназначенном для поиска введите, данные, которые необходимо найти, например fystemroot и нажмите кнопку "OK". В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение. Повторите логи. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение. Проверка компьютера при помощи Malwarebytes' Anti-Malware Ссылка на комментарий Поделиться на другие сайты Поделиться
Skif Опубликовано 30 сентября, 2009 Автор Поделиться Опубликовано 30 сентября, 2009 (изменено) готово virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log mbam_log_2009_09_30__12_56_00_.txtRegSearch.txt Что здесь только не стояло до меня, сейчас установил avast последнюю версию Изменено 30 сентября, 2009 пользователем C. Tantin убрал цитату Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 30 сентября, 2009 Поделиться Опубликовано 30 сентября, 2009 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe 1. Нажмите Пуск - Выполнить, введите regedit и нажмите ОК. 2. Раскрывая "плюсиками" структуру в левой части окна, найдите подраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS 3. Щелкните его правой кнопкой мыши и выберите Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его. 4. Выделив данный подраздел, найдите в правой части окна параметр ImagePath, который содержит строку %fystemRoot%\system32\svchost.exe -k netsvcs, и исправьте его значение на %systemRoot%\system32\svchost.exe -k netsvcs 5. То же самое проделайте с подразделом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv Внимание! Работая с regedit, будьте предельно внимательны и аккуратны. Внесенные изменения сохраняются сразу, а возможность автоматического отката отсутствует! Сделайте ещё раз поиск утилитой RegSearch значения fystemRoot и выложите лог. Ссылка на комментарий Поделиться на другие сайты Поделиться
Skif Опубликовано 30 сентября, 2009 Автор Поделиться Опубликовано 30 сентября, 2009 RegSearch.txtlog_combofix.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 30 сентября, 2009 Поделиться Опубликовано 30 сентября, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\Common Files\ajyhyzip.dat',''); QuarantineFile('c:\windows\system32\N2-E1089.EXE',''); QuarantineFile('c:\windows\ycir.dat',''); QuarantineFile('c:\windows\system32\Z8-7480A.EXE',''); QuarantineFile('c:\windows\system32\H8T3B3.EXE',''); QuarantineFile('c:\windows\system32\7G-E748D.EXE',''); QuarantineFile('c:\windows\system32\F62C71.EXE',''); QuarantineFile('c:\windows\system32\9W-747E2.EXE',''); QuarantineFile('c:\windows\system32\69a8c2.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти