Обнаружен статический маршрут к сайту производителя антивируса

[Irbis73]

Добрый день!

 

Компьютер зависает при загрузке, а так же вылетает IE. Вкладка "Восстановление системы" в свойствах "Мой компьютер" отсутствует.

Просканировал ПК AVZ, кроме знакомого мне HideAgent.dll выдал следующие. Полный лог приложен в файле отчет.txt

....

9. Мастер поиска и устранения проблем

>> Заблокированы настройки системы System Restore

>> Обнаружен статический маршрут к сайту производителя антивируса

....

 

Запускаю "мастер поиска и устранения проблем" и отмечаю на выполнение испровлений двух вышеуказанных проблем. AVZ сообщил об успешном исправлении.

Вкладка "Восстановление системы" активировалась.

 

Выполнил стандартный набор по лечению и сбору информации AVZ. Обратил внимание, что "статический маршрут к сайту производителя антивируса" остался в списке неисправностей.

 

Что посоветуете сделать?

отчет.txt

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

[snifer67]

Пофиксить в HijackThis

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\xFWsyro.exe,\\?\globalroot\systemroot\system32\VZNElY9.exe,\\?\globalroot\systemroot\system32\6Sl5Xh3.exe,

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\6Sl5Xh3.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\VZNElY9.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\xFWsyro.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\xFWsyro.exe');
DeleteFile('\\?\globalroot\systemroot\system32\VZNElY9.exe');
DeleteFile('\\?\globalroot\systemroot\system32\6Sl5Xh3.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи.

Изменено 1 июня, 2010 пользователем snifer67

[Irbis73]

Пофиксить не удается. Пытался 2 раза.

Скрипты выполнены успешно.

 

Ответ на подозрительные файлы.

6Sl5Xh3.exe

Файл в процессе обработки.

VZNElY9.exe, xFWsyro.exe - Trojan-Dropper.Win32.Small.fes

 

IE стал загружаться нормально.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[snifer67]

Пофиксить не удается. Пытался 2 раза.

Из-за чего не можете?

[Irbis73]

Из-за чего не можете?

HijackThis немог пофиксить, почистил реестр вручную - теперь чисто. Новый лог HijackThis приложен.

hijackthis.log

[thyrex]

Пофиксите в HiJack

O20 - Winlogon Notify: selog - C:\WINDOWS\SYSTEM32\selog.dll

Больше плохого не видно

 

Установите Adobe Acrobat 9.3 или удалите старый

[Irbis73]

Пофиксил.

Спасибо snifer67 и thyrex!

А зачем удалять старый Adobe Acrobat?

[Roman_Five]

А зачем удалять старый Adobe Acrobat?

 

содержит уязвимости. потенциальный источник для следующего заражения.