Результат проверки и лечения

**Onion** · 24 декабря, 2008

Выполнил проверку и лечение, прошу посмотреть до чего я там допроверялся =)

**akoK** · 24 декабря, 2008

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}');QuarantineFile('D:\WINDOWS\system32\ssmyst.scr','');QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');QuarantineFile('D:\WINDOWS\services.exe','');QuarantineFile('D:\WINDOWS\system32\drivers\smwdm.sys','');QuarantineFile('D:\WINDOWS\system32\clipsrv.exe','');QuarantineFile('D:\WINDOWS\System32\Drivers\a8kxzod5.SYS','');QuarantineFile('D:\WINDOWS\system32\DRIVERS\tcpip.sys','');DeleteService('ati8xfxx');DeleteService('ati8ttxx');DeleteService('ati8mtxx');DeleteService('ati8ccxx');DeleteService('ati8bpxx');DeleteService('ati7vpxx');DeleteService('ati7chxx');DeleteService('ati6prxx');DeleteService('ati6bwxx');DeleteService('ati5ycxx');DeleteService('ati5gxxx');DeleteService('ati4mqxx');DeleteService('ati4gdxx');DeleteService('ati4boxx');DeleteService('ati3wbxx');DeleteService('ati1xlxx');DeleteService('ati1qlxx');DeleteService('ati0pjxx');DeleteService('ati0lmxx');DeleteService('ati0gixx');DeleteService('ati0dgxx');DeleteFile('D:\WINDOWS\System32\Drivers\ati0dgxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati0gixx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati0lmxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati0pjxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati1qlxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati1xlxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati3wbxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati4boxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati4gdxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati4mqxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati5gxxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati5ycxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati6bwxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati6prxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati7chxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati7vpxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8bpxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8ccxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8mtxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8ttxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8xfxx.sys');DeleteFile('D:\WINDOWS\services.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Желательно установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

**Onion** · 25 декабря, 2008

Не могу скачать СДФикс, ни в какую не качается, пишет ошибку и всё.

К сообщению прикрепляю текст комбофикса.

На мыло отправил результат АВЗ.

**akoK** · 25 декабря, 2008

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Registry::[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dgxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gixx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0lmxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0pjxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1qlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1xlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3wbxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4boxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4gdxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4mqxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5gxxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5ycxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6bwxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6prxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7chxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7vpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8bpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ccxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8mtxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ttxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8xfxx.sys]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

И лог RSIT повторите.

Изменено 26 декабря, 2008 пользователем akoK

**Onion** · 25 декабря, 2008

Вот

**Pili** · 26 декабря, 2008

деинсталлируйте Bonjour Service

D:\WINDOWS\uninst.exe - проверьте на virustotal.com

Папки D:\khs, D:\khr знакомы? Файлы d:\windows\system32\autorun.in и d:\windows\system32\autorun.i удалите

Запустите AVZ - файл - восстановление системы - выберите п.10, или выполните скрипт

beginExecuteRepair(10);RebootWindows(true);end.

Проблемы какие наблюдаются?

Изменено 26 декабря, 2008 пользователем Pili

**ТроПа** · 26 декабря, 2008

Onion, повторите, пожалуйста, логи АВЗ.

Изменено 26 декабря, 2008 пользователем wise-wistful

**akoK** · 26 декабря, 2008

Onion: скопируйте и выполните еще раз скрипт из поста №7....я немного поправил скрипт

**Onion** · 26 декабря, 2008

Бонжур удалил.

Прикрепляю как просили Логи АВЗ. Скрипт выполнил лог скинул тоже.

Pili , скрипт ваш выполнился без ошибок, всё нормально перегрузилось.

Файлы d:\windows\system32\autorun.in и d:\windows\system32\autorun.i не обнаружил у себя =)

О, пардон, они были скрытыми. Удалил.

**Pili** · 26 декабря, 2008

Onion: логи AVZ вы старые выложили

Сканирование запущено в 24.12.2008 19:36:51

- virusinfo_syscure.zip

и

Сканирование запущено в 24.12.2008 19:55:46

- virusinfo_syscheck.zip

D:\WINDOWS\uninst.exe - проверьте на virustotal.com
Папки D:\khs, D:\khr знакомы? Файлы d:\windows\system32\autorun.in и d:\windows\system32\autorun.i удалите

Проблемы какие наблюдаются?

**Onion** · 26 декабря, 2008

Результаты virustotal.com скопировал в блокнот, прикрепил.

________

Авз - новые логи прикрепил.

Как писал выше - D:\khs, D:\khr не знакомы. autorun.in и autorun.i - удалил. проблем нет.

**Onion** · 26 декабря, 2008

Да, ещё одно...

Проверяя реестр ККлинером он находит Отсутствие программы автозапуска D:\WINDOWS\services.exe, того, который собственно и клонировался в количесвте 100шт в моих процессах на компе. Клонов не, но и программы этой по видимому тоже =)

**akoK** · 26 декабря, 2008

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Folder::D:\khsD:\khrRegistry::[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dgxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gixx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0lmxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0pjxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1qlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1xlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3wbxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4boxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4gdxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4mqxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5gxxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5ycxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6bwxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6prxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7chxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7vpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8bpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ccxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8mtxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ttxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8xfxx.sys]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

апакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанием пароля: virus в теле письма

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

**Onion** · 26 декабря, 2008

SDFix не смог скачать, хотя пробовал более 3х источников, выписывало всё время ошибку.

Qoobox\Quarantine прикрепил тут. буду пока делать описанные вами процедуры новыми программами.

вот

i

Уведомление:

Карантин надо было отправить на почтовый ящик

Изменено 26 декабря, 2008 пользователем akoK

**Onion** · 26 декабря, 2008

.

**akoK** · 26 декабря, 2008

В карантине ничего вредоносного не оказалось. :doh:

Как самочувствие пациента?

Изменено 26 декабря, 2008 пользователем akoK

**Onion** · 26 декабря, 2008

Malwarebytes' Anti-Malware 1.31

Версия базы данных: 1551

Windows 5.1.2600 Service Pack 2

27.12.2008 1:02:56

mbam-log-2008-12-27 (01-02-56).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 135128

Прошло времени: 36 minute(s), 59 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 1

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

Заражено процессов в памяти: