[Лог!] KIS не справился

[gensek]

Всем привет!!

 

Из-за постоянной перезагрузки пришлось отлажить удаление этого паука

 

Посмотрите логи, помогите плиз

 

Захват1.rar

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe','');
DeleteService('jgbgfjvm');
QuarantineFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

Повторите логи.

[gensek]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe','');
DeleteService('jgbgfjvm');
QuarantineFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

Повторите логи.

 

 

Скрипты выполнил но троян остался

 

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

'C:\WINDOWS\system32\AgCPanelSwedis.dll' - этот файл в архиве под паролем virus отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

[gensek]

'C:\WINDOWS\system32\AgCPanelSwedis.dll' - этот файл в архиве под паролем virus отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

AgCPanelSwedish.dll

 

Вредоносный код в файле не обнаружен.

[ТроПа]

а по поводу первого карантина ответа ещё не было?

[gensek]

а по поводу первого карантина ответа ещё не было?

 

Здравствуйте.

 

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

[gensek]

а по поводу первого карантина ответа ещё не было?

 

 

Здравствуйте.

 

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Trojan-Dropper.Win32.Agent.adwt

[akoK]

Деинсталируйте Outpost он блокирует работу антируткита AVZ.

 

Пофиксить в HijackThis следующие строчки

 O4 - Global Startup: MS-0901-upd011707.exe
O4 - Global Startup: MS-0901-upd011709.exe

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Stardock\Object Desktop\IconPackager\iprepair.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите тольковместо лога HJT мне понадобится:

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[gensek]

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите тольковместо лога HJT мне понадобится:

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

Извиняюсь за задержку-ответ на карантин получил тока счас:

 

Hello,

 

iprepair.dll, oreans32.sys

 

No malicious code were found in these files.

 

userinit.exe_ - Trojan.Win32.Inject.neq

 

Логи avz4 вот:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

Ну а дальше проблемка, я RSIT не могу стянуть с инета ни тут (с сайта) ни с поскоивиков, ни с других форумов -- ни откуда,

ну ни лезет он ко мне в комп - СЕРВЕР НЕ НАЙДЕН -(можа все это с одного места?)

Прошлый раз был запрос - я скачал и ни проблем, а счас - фиг

[akoK]

У Вас userinit.exe - патчен.

 

Его необходими заменить на чистый.

[gensek]

У Вас userinit.exe - патчен.

 

Его необходими заменить на чистый.

 

 

Сменил на чистый, размер 24,5 Кб,перезагрузил , а вирус сидит

Изменено 12 января, 2009 пользователем gensek

[ТроПа]

Проверьте userinit.exe ещё раз и сделайте новый комплект логов.

[gensek]

Проверьте userinit.exe ещё раз и сделайте новый комплект логов.

 

 

Userinit.exe в порятке, вот логи:

 

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Ну а дальше проблемка, я RSIT не могу стянуть с инета ни тут (с сайта) ни с поскоивиков, ни с других форумов -- ни откуда,

ну ни лезет он ко мне в комп - СЕРВЕР НЕ НАЙДЕН -(можа все это с одного места?)

Прошлый раз был запрос - я скачал и ни проблем, а счас - фиг

 

Попробуйте скачать отсюда.

 

Какие проблемы наблюдаются. Если наблюдаются, то опишите их более подробно.