INF/Autorun вирус "regsvr.exe"

[oz_odessa]

Всем проверил ни чего не помогает

все время выскакивает эта ошибка

Сообщение от модератора Kapral

Удалил карантин

hijackthis.log

virusinfo_syscheck.zip

Изменено 4 февраля, 2009 пользователем Kapral

[akoK]

virusinfo_cure.zip - карантин уберите.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\athr.sys','');
QuarantineFile('c:\windows\system32\regsvr.exe','');
DeleteFile('c:\windows\system32\regsvr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(16);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: Shell=Explorer.exe regsvr.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

 

Обновите базы AVZ и повторите логи.

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[oz_odessa]

После скрипта повторил логи

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

Изменено 4 февраля, 2009 пользователем oz_odessa

[Falcon]

Карантины уберите из прикрепленных файлов.

[oz_odessa]

где их убрать в программе avz4?

[Falcon]

нет, в сообщениях на форуме, нажмите "Изменить" - "Полное редактирование", удалите файлы quarantine.zip и virusinfo_cure.zip.

[oz_odessa]

удалил, просто обычно меня просили выставлять все логи.

 

После выполненных скриптов ошибка не появлялась

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');	
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Пофиксите:

O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=about:blank
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

 

Поищите этот файл с помощью AVZ(Сервис - Поиск файлов на диске):

C:\DOCUME~1\admin\LOCALS~1\Temp\RtkBtMnt.exe

Проверьте на Virustotal.com.

 

Повторите логи (3 лога: virusinfo_syscheck.zip, virusinfo_syscure.zip и лог HJT).

[oz_odessa]

Проверил на сайте

 

Файл RtkBtMnt.exe получен 2009.02.04 16:53:55 (CET)

Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО

Результат: 0/39 (0%)

hijackthis.log

virusinfo_syscheck.zip

[akoK]

Включите то, что отключили через msconfig и повторите логи.

 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\28463
C:\Program Files\AdVantage\AdVantage.exe
C:\WINDOWS\system32\amvo.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e5adacc-0a17-11dd-805d-001b38685893}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041094-a4f8-11dd-80de-001b38685893}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041095-a4f8-11dd-80de-001b38685893}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

 

virusinfo_cure.zip опять? Нам нужен лог syscure.zip

[oz_odessa]

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder C:\WINDOWS\system32\28463 not found.

File/Folder C:\Program Files\AdVantage\AdVantage.exe not found.

File/Folder C:\WINDOWS\system32\amvo.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e5adacc-0a17-11dd-805d-001b38685893}\\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041094-a4f8-11dd-80de-001b38685893}\\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041095-a4f8-11dd-80de-001b38685893}\\ not found.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\admin\LOCALS~1\Temp\etilqs_UgHdhPnoebS2LQLTyCbw scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_100816

virusinfo_syscure.zip

Изменено 5 февраля, 2009 пользователем oz_odessa

[akoK]

Очистите планировщик задач.