Как вылечить вирус Worm.Win32.AutoRun.bszz

[buraleks]

также удалите записи в ветке

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

 

Удалил ... УРА заработало!

А зачем делать логи по по правилам? Если проблема миновала, или это еще не все проблемы?

 

Файл C:\Documents and Settings\Администратор\ms.exe также рекомендую переместить в любую другую папку, т.к. могут оказаться и другие ключи, которые его запускают

 

 

Этого файла нет нигде, поиском специально искал. И в папке смотрел.

[Roman_Five]

Если проблема миновала

в системе должны были остаться следы заражения. их надо подчистить. делайте логи.

[buraleks]

ОК, делаю логи. Кстати индикатор жесткого диска странно работает. Полузагорается или полностью горит если грузится. Раньше такого не было.

[thyrex]

+ Сделайте лог полного сканирования МВАМ

[buraleks]

Логи сделал прикрепляю...

info.rar

log.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[icotonev]

+ Сделайте лог полного сканирования МВАМ

 

Подготовить еще:

 

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

 

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R3 - Default URLSearchHook is missing

[buraleks]

прилагаю лог полного сканирования GMER, и пофиксил строки в HijackThis

лог_полного_сканирования_МВАМ.rar

Изменено 5 мая, 2012 пользователем buraleks

[Roman_Five]

buraleks,

 

там лог не MBAM, а GMER

 

1. Откройте Блокнот и скопируйте в него текст скрипта

gmer.exe -del service xxugohtyr
gmer.exe -del file "C:\WINDOWS\system32\lxdeq.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xxugohtyr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xxugohtyr"
gmer.exe -reboot

2. Нажмите Файл - Сохранить как

3. Выберите ту папку, где находится gmer.exe (gmer)

4. Укажите Тип файла - Все файлы (*.*)

5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить

6. Запустите cleanup.bat

 

ВНИМАНИЕ: Компьютер перезагрузится!

 

Сделайте новый лог gmer

 

+ Сделайте лог полного сканирования МВАМ

Изменено 5 мая, 2012 пользователем Roman_Five

[buraleks]

я перепутал там именно лог GMER я выложил

[buraleks]

Все просканировал: выкладываю логи GMER и MBAM

 

+ rasautou.exe находится в c:\windows\system32

постоянно подключает меня к интернету без моего разрешения автоматом

 

и еще нашлась программа rasautou.exe-18B88A68.pf по адресу c:\windows\Prefetch

+ создался съемный диск I которого не было до появления вируса, на нем 0кб и места и занято 0кб

log_GMER.rar

mbam_log_2012_05_05__18_48_04_.rar

[icotonev]

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\www.Asbiz.ru.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.

 

 

 

Плохого не увидел в Лог GMER..!

 

ProxyServer = 46.73.145.127:1080 сами прописывали?

 

 

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Подготовить новый лог с RSIT..!

Изменения какие-либо есть?

Изменено 5 мая, 2012 пользователем icotonev

[buraleks]

в MBAM и удалил строки - высылаю повторные логи.

 

 

ProxyServer = 46.73.145.127:1080 сами прописывали?

 

Этого я не прописывал.

 

Изменения какие-либо есть?

 

Особенных изменений не видел, только при загрузке виндовс очень долго грузился экран до рабочего стола, я думал что система нарушена

и больше не загрузится винда. Но прогрузилось вроде нормально.

mbam_log_2012_05_05__22_03_29_.rar

[icotonev]

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.
Подготовить новый лог с RSIT..!
Изменения какие-либо есть?

 

Ждём....

[buraleks]

Высылаю логи.

 

 

Изменения какие-либо есть?

 

Изменений не видно пока.

virusinfo_syscheck.zip

info.rar

log.rar

Изменено 5 мая, 2012 пользователем buraleks

[Roman_Five]

деинсталлируйте MBAM

 

Этого я не прописывал.

пофиксите в Hijackthis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 46.73.145.127:1080

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* SP для Windows XP - SP3

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)