Skif 0 Опубликовано 29 сентября, 2009 Share Опубликовано 29 сентября, 2009 virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 29 сентября, 2009 Share Опубликовано 29 сентября, 2009 (изменено) ыполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\localservice\application data\svcst.exe'); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\_scui.cpl',''); QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\bd549199.sys',''); QuarantineFile('c:\documents and settings\localservice\application data\svcst.exe',''); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\documents and settings\localservice\application data\seres.exe'); DeleteFile('c:\documents and settings\localservice\application data\svcst.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); DeleteFile('C:\WINDOWS\system32\_scui.cpl'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстанов-ления - На приглашение введите строку: copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драй-ва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли вос-становления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Сделайте новые логи. Изменено 29 сентября, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Skif 0 Опубликовано 30 сентября, 2009 Автор Share Опубликовано 30 сентября, 2009 Ответ из лаборатории Здравствуйте, В присланном Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь. braviax.exe_ Trojan-Downloader.Win32.FraudLoad.fnp csrcs.exe_ Worm.Win32.AutoIt.re nissan.exe_ P2P-Worm.Win32.Palevo.jaz scui.cpl_ Trojan.Win32.FraudPack.unb securentm.sys Rootkit.Win32.HareBot.bb seres.exe_ Trojan-Downloader.Win32.FraudLoad.wsui С уважением, ... Вирусный аналитик сделал все как написали, пока не помогло virusinfo_syscure.zipvirusinfo_syscheck.zipGmer.log hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 30 сентября, 2009 Share Опубликовано 30 сентября, 2009 c:\documents and settings\1\Рабочий стол\zqw32duo.exe - это известно что за файл? Цитата Ссылка на сообщение Поделиться на другие сайты
Skif 0 Опубликовано 30 сентября, 2009 Автор Share Опубликовано 30 сентября, 2009 c:\documents and settings\1\Рабочий стол\zqw32duo.exe - это известно что за файл? угу. Gmer Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 30 сентября, 2009 Share Опубликовано 30 сентября, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\XP-0D409675.EXE',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3172495714-3224148924-964571591-8129\nissan.exe',''); QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\fxtdapod.sys',''); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\fxtdapod.sys'); DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-3172495714-3224148924-964571591-8129\nissan.exe'); DeleteFile('C:\WINDOWS\system32\XP-0D409675.EXE'); DeleteFile('F:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: cru629.dat Скачайте и распакуйте в отдельную папку - Registry Search Запустите утилиту. В верхнем окне, предназначенном для поиска введите, данные, которые необходимо найти, например fystemroot и нажмите кнопку "OK". В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение. Повторите логи. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение. Проверка компьютера при помощи Malwarebytes' Anti-Malware Цитата Ссылка на сообщение Поделиться на другие сайты
Skif 0 Опубликовано 30 сентября, 2009 Автор Share Опубликовано 30 сентября, 2009 (изменено) готово virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log mbam_log_2009_09_30__12_56_00_.txtRegSearch.txt Что здесь только не стояло до меня, сейчас установил avast последнюю версию Изменено 30 сентября, 2009 пользователем C. Tantin убрал цитату Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 30 сентября, 2009 Share Опубликовано 30 сентября, 2009 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe 1. Нажмите Пуск - Выполнить, введите regedit и нажмите ОК. 2. Раскрывая "плюсиками" структуру в левой части окна, найдите подраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS 3. Щелкните его правой кнопкой мыши и выберите Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его. 4. Выделив данный подраздел, найдите в правой части окна параметр ImagePath, который содержит строку %fystemRoot%\system32\svchost.exe -k netsvcs, и исправьте его значение на %systemRoot%\system32\svchost.exe -k netsvcs 5. То же самое проделайте с подразделом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv Внимание! Работая с regedit, будьте предельно внимательны и аккуратны. Внесенные изменения сохраняются сразу, а возможность автоматического отката отсутствует! Сделайте ещё раз поиск утилитой RegSearch значения fystemRoot и выложите лог. Цитата Ссылка на сообщение Поделиться на другие сайты
Skif 0 Опубликовано 30 сентября, 2009 Автор Share Опубликовано 30 сентября, 2009 RegSearch.txtlog_combofix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 30 сентября, 2009 Share Опубликовано 30 сентября, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\Common Files\ajyhyzip.dat',''); QuarantineFile('c:\windows\system32\N2-E1089.EXE',''); QuarantineFile('c:\windows\ycir.dat',''); QuarantineFile('c:\windows\system32\Z8-7480A.EXE',''); QuarantineFile('c:\windows\system32\H8T3B3.EXE',''); QuarantineFile('c:\windows\system32\7G-E748D.EXE',''); QuarantineFile('c:\windows\system32\F62C71.EXE',''); QuarantineFile('c:\windows\system32\9W-747E2.EXE',''); QuarantineFile('c:\windows\system32\69a8c2.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.