Какие-то вирусы

[Bob Rowsky]

После лечения антивирусом возможно остались вредоносные программы. Прошу проверить.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ILIYA\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\iliya\wuaucldt.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5529820190-0588647759-664899067-8921\yv8g67.exe,C:\Documents and Settings\ILIYA\Application Data\nsvb.exe,explorer.exe,C:\Documents and Settings\ILIYA\Application Data\juzjf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5529820190-0588647759-664899067-8921\yv8g67.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\wcscd.sys','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5529820190-0588647759-664899067-8921\yv8g67.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5529820190-0588647759-664899067-8921\yv8g67.exe,C:\Documents and Settings\ILIYA\Application Data\nsvb.exe,explorer.exe,C:\Documents and Settings\ILIYA\Application Data\juzjf.exe');
DeleteFile('c:\documents and settings\iliya\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\Documents and Settings\ILIYA\wuaucldt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.

[potapych1976]

Прошу,поясните некоторую ситуацию.В очередной раз после переустановки антивира на Касперского,первая же проверка показывает наличие на компе Trojan-Downloader.Java.OpenStream.bb. Что это такое,опасно ли и почему именно оно выскакивает каждый раз во время проверки?Хотя оно всё время удаляется(судя по отчёту)Каспером с компа.

[Roman_Five]

potapych1976

создайте свою тему в этом разделе и выполните правила

[Bob Rowsky]

Сделано. newvirus@kaspersky.com ответа пока не прислал. Операционная система продолжает посылать какие-то e-mail в Internet.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2010_12_06__09_51_28_.txt

[Никита Помазанов]

Строгое предупреждение от модератора Jen94

Заведомо некомпетентный, неверный/неполный ответ.

Устное предупреждение

[Roman_Five]

Удалите в MBAM

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wcscd (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdfss (Rootkit.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Value: Regedit32 -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\drivers\wcscd.sys (Rootkit.Agent) -> No action taken.
c:\documents and settings\localservice\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('C:\WINDOWS\system32\regedit.exe');
SetServiceStart('wcscd', 4);
StopService('wcscd');
SetServiceStart('cdfss', 4);
StopService('cdfss');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\wcscd.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\wcscd.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('wcscd');
DeleteService('cdfss');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wcscd');
BC_DeleteSvc('cdfss');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте лог GMER (инструкция).

 

Сделайте новые логи по правилам.

Изменено 6 декабря, 2010 пользователем Roman_Five