Вечно живые вирусы

[Одинокий Дракон]

Многие виусы выковырял, но некоторые не хотят так просто раставаться с ноутбуком.

Прошу помощи.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\fonts\zpx2.exe');
QuarantineFile('C:\WINDOWS\System32\drivers\c4345a3f.sys','');
DeleteService('c4345a3f');
QuarantineFile('C:\WINDOWS\Fonts\zpx2.exe','');
QuarantineFile('C:\WINDOWS\Temp\84DE.tmp','');
QuarantineFile('C:\WINDOWS\Temp\6454.tmp','');
DeleteFile('C:\WINDOWS\Temp\6454.tmp');
DeleteFile('C:\WINDOWS\Temp\84DE.tmp');
DeleteFile('C:\WINDOWS\Fonts\zpx2.exe');
DeleteFile('C:\WINDOWS\System32\drivers\c4345a3f.sys');
DeleteFile('c:\windows\fonts\zpx2.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите.

 

Обновите базы AVZ и сделайте новые логи.

Изменено 4 апреля, 2009 пользователем Falcon

[Одинокий Дракон]

От кого: newvirus@kaspersky.com 
Тема: RE: карантин [KLAN-26086213]
04.04.09, 17:04 
Кому: @yandex.ua 

Здравствуйте,

6454.tmp_ - Backdoor.Win32.KeyStart.cb, 
zpx2.exe_ - Trojan-Spy.Win32.Agent.acwq

Эти файлы определяются антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

пароль на архив virus

 

+ логи

Сообщение от модератора wise-wistful

Убрал имя аналитика, оно нам ни к чему в теме

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 6 апреля, 2009 пользователем wise-wistful

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('%fystemroot%\system32\svchost.exe','');
QuarantineFile('%fystemRoot%\system32\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteService('msupdate');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[Одинокий Дракон]

От кого: newvirus@kaspersky.com 
Тема: RE: тема [KLAN-26170284]
06.04.09, 11:05 
Кому: @yandex.ua 

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

 

wise-wistful

 

МалВаре логи чуток позже, сканирует долгенько.

 

Malwarebytes' Anti-Malware 1.35
Версия базы данных: 1944
Windows 5.1.2600 Service Pack 3

06.04.2009 12:41:32
mbam-log-2009-04-06 (12-41-32).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 109487
Прошло времени: 1 hour(s), 43 minute(s), 20 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 6

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00001.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00002.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00004.dta (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00009.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00010.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpv831235998315.cpx (Trojan.Downloader) -> Quarantined and deleted successfully.

 

как бы все?

Изменено 6 апреля, 2009 пользователем Одинокий Дракон

[akoK]

Как самочуствие?

[Одинокий Дракон]

Вы знаете доктор, как бы получше.

 

Спасибо всем за помощь, ОГРОМНОЕ СПАСИБО!