Убить ali

[snifer67]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::
c:\documents and settings\user.MYCOMP\Application Data\cgqocwdi.exe
FileLook::
C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ADVANCED SYSTEMCARE.tmqrwusv
C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\AIMP2.tmqrwusv

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[sandkey]

Сделал

ComboFix.zip

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.tmqrwusv');
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.tmqrwusv');
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\БИЛАЙН ИНТЕРНЕТ ДОМА.tmqrwusv');
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\WINDOWS MEDIA PLAYER.tmqrwusv');
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.tmqrwusv');
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\AIMP2.tmqrwusv');
DeleteFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ADVANCED SYSTEMCARE.tmqrwusv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделайте новые логи из обычного режима.

[sandkey]

Сделал в нормальном! режиме

virusinfo_syscheck.zip

hijackthis.log

Зря я перегрузил... получил тоже самое. Может пройтись кавом а потом fixmbr?. Ну это уже завтра

Изменено 8 июня, 2010 пользователем sandkey

[snifer67]

Может пройтись кавом а потом fixmbr?

да.

[sandkey]

Прошелся rescuecd, затем с консоли fixmbr. Все работает! Логи:

virusinfo_syscheck.zip

hijackthis.log

Конечно систему все равно проще снести после таких опытов.

 

И еще вчера я его отправил в лабараторию. И вечером пришел ответ

 

ali.exe_ - Trojan.Win32.Agent.eftv

Детектирование файла будет добавлено в следующее обновление.

 

То есть поменялось название вируса! На сегодняшних базах он уже по новому детектится

Всем ОГРОМНОЕ СПАСИБО за помощь

Изменено 9 июня, 2010 пользователем sandkey

[snifer67]

Живучая гадость....

 

Восстановление системы отключить.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ali.exe');
DeleteFile('c:\windows\ali.exe');
BC_DeleteFile('c:\windows\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_DeleteReg('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

Изменено 9 июня, 2010 пользователем snifer67

[sandkey]

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

ООО Я же его перегружал и выключал! и али в папке виндовс не было, специально смотрел(((. Уже поздно система переустановлена