Попался какой-то вирус, который не лечится

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Изменено 13 апреля, 2009 пользователем DIMANDUC

13 апреля, 2009

Обнови базы

Файл-Обновление баз загрузиться около 1,5Mb

Изменено 13 апреля, 2009 пользователем Самагонщик

14 апреля, 2009

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\89211389.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

Продублируйте карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

И в АВЗ--сервис--поиск файлов на диске поищите svchost.exe и привидите полные пути ко всем найденным.

14 апреля, 2009

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Кодbegin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\System32\drivers\89211389.sys','');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Это я сделал.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Кодbegin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

тоже выполнил. Полученный файл отправил по указанным адресам с ссылками на тему и описанием проблемы.

И в АВЗ--сервис--поиск файлов на диске поищите svchost.exe и привидите полные пути ко всем найденным.

вот:

C:\WINDOWS\assembly\Nativelmages_v2.0.50727_32\SMS...

C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Com...

C:\WINDOWS\system32\netstat.exe

C:\WINDOWS\system32\svchost.exe

D:\Программы\Total Commander\Soft\Ace Utilities\au.exe

вот вроде все... Пути печатал сам, поэтому возможны ошибки. И еще не получилось просмотреть полные пути некоторых файлов. Вынужден ставить точки...

14 апреля, 2009

вот вроде все... Пути печатал сам, поэтому возможны ошибки. И еще не получилось просмотреть полные пути некоторых файлов. Вынужден ставить точки...

Не совсем понятно, привидите скриншот окна.

Файл в карантин не захотел.

В АВЗ включите AVZPM и повторите логи.

Изменено 14 апреля, 2009 пользователем wise-wistful

14 апреля, 2009

Не совсем понятно, привидите скриншот окна.
Файл в карантин не захотел.

В АВЗ включите AVZPM и повторите логи.

чичас... вот:

подробно о том, как включить AVZPM... если можно...

14 апреля, 2009

Запустите AVZ -> выберите пункт меню AVZPM -> Установить драйвер расширенного мониторинга процессов -> перезагрузить систему.

------

Даже инструкция уже есть, оказывается )

Изменено 14 апреля, 2009 пользователем MedvedevUnited

14 апреля, 2009

подробно о том, как включить AVZPM... если можно...

ЧаВо

14 апреля, 2009

C:\WINDOWS\system32\svchost.exe проверьте на virustotal.com и приведите ссылку на результат проверки

14 апреля, 2009

вот новые логи

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

C:\WINDOWS\system32\svchost.exe проверьте на virustotal.com и приведите ссылку на результат проверки

вот ссылка http://www.virustotal.com/ru/reanalisis.ht...a5463460e2380b4

если не откроется вот что там написано

Файл уже проанализирован:
MD5: e948a9079d0e6350be92d4d3e0077f81

First received: 2008.05.01 04:38:40 (CET)

Дата: 2009.04.14 09:49:38 (CET) [<1D]

Результаты: 0/40

Permalink: analisis/68067d892ad96a5bc6b692ed8b882b79

Изменено 14 апреля, 2009 пользователем DIMANDUC

14 апреля, 2009

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ovfsthceqfcetgrusingrurkjedbxtxbkpmenn.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ovfsthceqfcetgrusingrurkjedbxtxbkpmenn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

Повторите логи.

Скачайте и распакуйте в отдельную папку - Registry Search

Запустите утилиты Registry Search

В верхнем окне, предназначенном для поиска введите

fystemroot

нажмите "Ok".

В блокноте откроется тескт, скопируйте его и вставьте в следующее сообщение

Изменено 14 апреля, 2009 пользователем wise-wistful

14 апреля, 2009

Вот логи:

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Вот блокнот

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.6.0

; Results at 14.04.2009 19:13:34 for strings:

; 'fystemroot'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\controlset004\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\controlset004\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

; End Of The Log...

14 апреля, 2009

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\89211389.sys','');
QuarantineFile('C:\WINDOWS\TEMP\don5.tmp','');
DeleteFile('C:\WINDOWS\TEMP\don5.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\don5.tmp

Повторите логи.

Руткит в карантин не захотел.

Напишите, после выполнения скрипта проблема всё ещё наблюдается?

14 апреля, 2009

DIMANDUC, теперь замените все значения в реестре %fystemRoot% на %systemRoot% (пути уже знаете).

15 апреля, 2009

.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Кодbegin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\System32\drivers\89211389.sys','');

QuarantineFile('C:\WINDOWS\TEMP\don5.tmp','');

DeleteFile('C:\WINDOWS\TEMP\don5.tmp');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Кодbegin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

Это я все сделал.

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\don5.tmp

не нашел такой строчки.

Повторите логи.

Пожалуйста: