Trojan.Win32.Inject.aapx [OK]

[neon_3x]

Всем привет!О проблеме:при посещении одной из страниц сайта универа в Москве(!)(кажется мне что оттуда)

появилось окно с предупреждением о троянской программе на этой странице.Она была успешно заблокирована,но при следующей загрузке системы Антивирус Касперского не запустился.Переустановка тоже ничего не дала,она даже не дошла до конца(только до места,где должен был быть вопрос об активации).

Я сумел обнаружить вирус: C:\WINDOWS\system32\acelpdec.exe. Удалить его не представлялось возможным,поэтому жесткий диск был проверен на другой машине и был обнаружен троян Trojan.Win32.Inject.aapx. После его удаления Антивирус все равно не запускается(переустановка результатов не дала).Regedit не запускается.Также не запускаются без переименования avz и HijackThis.Уверен,в реестре есть записи,не дающие системе запуск этих программ.Но где? Скачал программу для работы с реестром,но по адресам

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

ничего подозрительного не нашел. Логи прилагаются. Очень надеюсь на вашу помощь.

 

P.S. предыдущая тема немного похожа, и все же решил создать новую.Заранее извиняюсь, если что.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

C:\Documents and Settings\NeoN\Desktop\hi\vjhv.exe - это знакомо?

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('HTTPFilterSCardSvr');
QuarantineFile('C:\WINDOWS\system32\acelpdecg.exe','');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\WINDOWS\system32\acelpdecg.exe');
BC_ImportDeletedList;
BC_DeleteSvc('HTTPFilterSCardSvr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

 

Скачайте RootRepeal. Запустите программу. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите только диск С. После окончания исследования системы нажмите на кнопку Save Report и сохраните лог у себя на диске. Затем прикрепите лог к сообщению в Вашей теме.

[neon_3x]

"C:\Documents and Settings\NeoN\Desktop\hi\vjhv.exe - это знакомо?"-Это я так переименовал HiJackThis).

Выполнил скрипт,система перезагрузилась.Выкладываю лог RootRepeal.и еще:после сканирования вывел окошко:

the number of ssdt entries from the kernel and the number of disk are different.На 13 записей

RootRepealReport.txt

[Falcon]

Выполните в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Повторите логи AVZ.

[neon_3x]

Выкладываю новые логи AVZ.

Скрипт выполняется,но zip-архив пустой(22 байта).Все равно отправлять?

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 29 мая, 2009 пользователем neon_3x

[Falcon]

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);  
QuarantineFile('C:\WINDOWS\system32\Drivers\PCASp50.sys','');
QuarantineFile('C:\WINDOWS\system32\NSNDIS5.SYS','');
DeleteService('NSNDIS5');
QuarantineFile('c:\program files\dtemp\dtemp.exe','');
DeleteFile('C:\WINDOWS\system32\NSNDIS5.SYS');
DeleteFile('digeste.dll');
DeleteFile('digiwet.dll');   
BC_ImportAll;
BC_DeleteSvc('NSNDIS5');
ExecuteRepair(6);
ExecuteRepair(9);	 
ExecuteSysClean;									   
BC_Activate;
RebootWindows(true);
end.

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

[neon_3x]

Премного вам благодарен!После выполнения предпоследнего скрипта и перезагрузки все заработало!Письмо отправлено на указанный вами адрес.Пароль указан.

[Falcon]

Сделайте новые логи AVZ и HjT для контроля.

[neon_3x]

Результат отправки:

Здравствуйте,

 

bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, dtemp.exe_

 

Вредоносный код в файлах не обнаружен.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

 

> Пароль на архив-virus

>

С уважением, Вирусный аналитик

ЗАО "Лаборатория Касперского".

 

Сообщение от модератора Falcon

Убрал данные аналитика.

 

Сделаны последние логи.Система полностью стабильна.Проблема решена.Большое вам спасибо!Но хотелось бы узнать,что же мешало запуску Антивирусной программы(если вам не трудно)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 29 мая, 2009 пользователем Falcon

[Falcon]

Мешала вот эта красота:

digeste.dll
digiwet.dll

 

Не за что, обращайтесь

[neon_3x]

Ясненько...ну что ж,обязательно обращусь,если что.Еще раз спасибо.Все.Тему можно закрывать.

 

Сообщение от модератора Falcon

Закрыто по просьбе автора темы.