Вирус "ПО File Downloader"

[Марги 0]

Здравствуйте.

Вот и я оказался в числе многих счастливчиков.

Хочу покинуть эти стройные ряды ))

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK 138]

1. Скачайте утилиту get3.zip и запустите. Компьютер должен перезагрузится

 

2. В папке с утилитой должен появился файл drv.sys, запакуйте его и прикрепите к своему сообщению.

 

 

После этого повторите логи

[Марги 0]

drv.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 24 декабря, 2009 пользователем Марги

[snifer67 120]

Файл C:\WINDOWS\System32\Drivers\cdfs.sys

замените на чистый из дистрибутива Windows.

http://virusinfo.info/showthread.php?t=51654

 

Пофиксить в HijackThis

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

ПК перезагрузите.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Дизайнер\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Дизайнер\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Сделайте новые логи.

[Марги 0]

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Ответ:

siszyd32.exe - Backdoor.Win32.Bredolab.boo

 

В настоящий момент этот файл детектируется. Пожалуйста, обновите антивирусные базы.

Скачайте GMER по одной из указанных ссылок:

...После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

GMER.log

 

продолжение следует...

[snifer67 120]

Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

ntg109dy.exe -del service fdmeum
ntg109dy.exe -del service jjwwgiaaa
ntg109dy.exe -del file "C:\WINDOWS\system32\udicz.dll"
ntg109dy.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fdmeum"
ntg109dy.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjwwgiaaa"
ntg109dy.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fdmeum"
ntg109dy.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jjwwgiaaa"
ntg109dy.exe -reboot

Сделайте новый лог gmer.

[Марги 0]

Сделайте новые логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

В верхнее окно скопируйте текст ниже и запустите (Run)

Сделайте новый лог gmer.

GMER.log

[thyrex 1 473]

Пофиксите в HiJack

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

Больше ничего плохого

[Марги 0]

Спасибо огромное!