Вредоносная программа

[Bob Rowsky]

Понял. Ночером сделаю образ. Доступа к реестру пока нет

[Римус]

Удалите параметр C:\WINDOWS\system32\qcsn.dll и сам файл.

 

Параметр я удалил. А сам файл где удалить? Что-то я его не вижу.

А всё, нашел я файл. 156kb , но датирован он 25 мая, хотя вирус я получил 23 мая.

Изменено 27 мая, 2010 пользователем Римус

[snifer67]

Римус, Загрузитесь в обычном режиме и выполните правила.

[Римус]

Компьютер запустился, зашёл с него на форум. Но Антивирус Касперского не запустился. Я его попробовал восстановить, он обновился, но не запускается. Поэтому пункт «1. Если у Вас есть антивирус - обновите его базы и проверьте компьютер.» невозможен. Попробую со второго пункта.

 

Касперский так и не запустился.

 

Скину всё, что сохранилось.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Сообщение от модератора thyrex

Удалил карантин

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\wmvds32.ax:YB0Gdxt+tKP:$DATA','');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\DOCUME~1\C4C4~1\APPLIC~1\FieryAds\FieryAds.dll','');
DeleteFile('C:\DOCUME~1\C4C4~1\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\wmvds32.ax:YB0Gdxt+tKP:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Выполните дополнительно

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Римус]

Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Скрипт выполнил. Файл отправил и получил следующий ответ:

 

«This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

wmvds32.ax:YB0Gdxt+tKP:$DATA

This file is in process.»

 

 

А можно поподробнее насчет «Сделайте новые логии».

[Falcon]

А можно поподробнее насчет «Сделайте новые логии».

Правила заново выполните.

[Римус]

Новые логи

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Не сделали лог ComboFix.

[Римус]

Что-то не получается его запустить. То есть программа запускается, а потом появляется окно ссылкой на сайт и ещё какой-то инфой и запрос да или нет.

[snifer67]

Жмите "нет".

[Римус]

Всё равно дальше не идёт.

[snifer67]

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Римус]

info.txt

log.txt

[snifer67]

Выполните скрипт в avz

begin
ExecuteRepair(19);
RebootWindows(true);
end.

ПК перезагрузится.

 

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\cq.dll
C:\WINDOWS\system32\apurst.dll
C:\WINDOWS\system32\zcjou.dll
C:\WINDOWS\system32\pw.dll
C:\WINDOWS\system32\ebguyz.dll
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

пуск-выполнить-regedit

Зайдите в ветку: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Удалите все пустые безымянные значения.