[Лог!] Backdoor.Win32.SdBot.jvr и Backdoor.Win32.Poison.rgj

[Ильи4]

Помогите. Как только подключаюсь к инету касперский сразуже выдает сообщение о загрузке каго нибудь файла содержащего Backdoor.Win32.SdBot.jvr или Backdoor.Win32.Poison.rgj и так каждые полчаса! На всякий сделал скрины. Не знаю что делать, подскажите . Буду признателен за помощь!

и

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 29 января, 2009 пользователем Ильи4

[ТроПа]

1.[AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\CtPmMidi.dll','');
QuarantineFile('P17Def.Exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\CtPmFilt.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7375762494-4889220725-673044698-5711\winlogon.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7375762494-4889220725-673044698-5711\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

2.Пофиксить в HijackThis следующие строчки

	O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')

 

Повторите логи.

Изменено 30 января, 2009 пользователем wise-wistful