Снова Trojan-Downloader.Mutant

[AlekS]

Заловил коня с сервиса HQ-films, помогите плз.

Log- файл запрещает грузить.

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Гриша]

Скачать,меню,File,появится аналог проводника,найти:

 

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winip28.sys

 

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winra85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqx28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhp85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winho52.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vjtotwso.sys','');	  
QuarantineFile('C:\WINDOWS\system32\Drivers\Winip28.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('Winra85');
DeleteService('Winqx28');
DeleteService('Winhp85');
DeleteService('Winho52');
DeleteService('ASFWHide');
DeleteService('Winip28');
DeleteService('vjtotwso');	 
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winip28.sys');
DeleteFile('C:\DOCUME~1\ALEKS\LOCALS~1\Temp\ASFWHide');
DeleteFile('C:\WINDOWS\system32\drivers\vjtotwso.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winho52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhp85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winra85.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('msansspc.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Winra85');
BC_DeleteSvc('Winqx28');
BC_DeleteSvc('Winhp85');
BC_DeleteSvc('Winho52');
BC_DeleteSvc('ASFWHide');
BC_DeleteSvc('Winip28');
BC_DeleteSvc('vjtotwso');	
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');	
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

[AlekS]

Скрипт выполнен, архив замылен. Вот новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

[ТроПа]

В логах АВЗ нормально, лог HJT не мешало бы выложить.

[AlekS]

Log есть, но при попытке вставить его в сообщение ругается:" Неудачная загрузка, вам запрещено загружать такой тип файлов."

Строгое предупреждение от модератора Falcon

Правила читать!

Изменено 19 октября, 2008 пользователем Falcon

[Falcon]

Заархивируйте и прикрепите.

[AlekS]

Ну. наконец-то, прибил...

hijackthis.zip

[Falcon]

Пофиксить:

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

[AlekS]

Пофиксил...!?

[Гриша]

Жалобы есть?

[AlekS]

Огромное мерси. Жить будем...!