Вирус или что?

[Sasha12128]

Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

Изменено 3 марта, 2009 пользователем Sasha12128

[C. Tantin]

Сделайте логи, как описано в этой теме.

[Sasha12128]

Вот сделал:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
QuarantineFile('digeste.dll','');
QuarantineFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteService('msupdate');
BC_ImportALL;
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

 

Повторите логи.

[FagotAdmin]

Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

Вирусня, возможно остатки, возможно Авторанер... Че делать? Сначала запишите на болванку AVZ 4 и сканер Dr. Web в безопасном режиме просканируйте систему с диска сначала AVZ 4 потом Dr. Web (сканеры запускать с болванки! ) после этого установите какую нить утилитку по очистке реестра и почистите реестр, благо такого софта в нэте полно. Думаю этот совет поможет Вам

[ТроПа]

Думаю этот совет поможет Вам

 

А вы видите что процесс лечения уже идёт или принципиально не читаете больше ничьи сообщения?

[akoK]

FagotAdmin, я не сильно Вам мешаю своими рекомендациями проводить лечение?

 

ыыыы афтар жжет.

Изменено 3 марта, 2009 пользователем akoK

[Sasha12128]

Спасибо за помощь, проблемма с дисками исчезла

А что за вирус был?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

[akoK]

Помойка еще осталась.

 

Пофиксить в HijackThis следующие строчки

 	
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Если нет, то пофиксить в HijackThis

 
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212

 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
J:\autorun.exe
G:\autorun.exe
F:\Documents and Settings\Bredlyy\Local Settings\Temp\init.exe
C:\Program Files\MyCentria
C:\WINDOWS\system32\shell31.dll
C:\WINDOWS\A7E07C2B2220441587E3784D5814BC93.TMP
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adcb423e-504b-11dd-a291-d36e9a8ae8dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6acff2b-840a-11dd-a3a3-81c20484a636}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec0f1bed-e33d-11dd-a4a5-aa80ea13728f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Bonjour - нужен?

 

А что за вирус был?

Вам прийдет ответ от виралаба, а не мне

[Sasha12128]

Пофиксил

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Не провайдер не мой, тоже пофиксил

 

Bonjour - нужен?

Нет не нужен, а как избавится?

03032009_215725.log

mbam_log_2009_03_03__22_53_13_.txt

Изменено 3 марта, 2009 пользователем Sasha12128

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('c:\program files\bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[Sasha12128]

akoK

Спасибо за помощь