Saule помоги!

[Tranzit]

На одном из компе аваст закричал что C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3RSK.EXE Вирус/Червь. каторый называется Win32:Malware-gen. через пару менут по сетки начали такоеже выдавать авасты на других компах.

Сканировал все компы Dr.Web, Kasper, AVZ, ничего ненашли а аваст кричит что вирус этот файл, при его личении авастом, пишет что лечит и все норм но проходит время и снова начинает бить тревогу

Помогите в чем проблема, че за вирус и что это за файл?

[Old men]

Tranzit:

Почему бы для начала не прочесть Правила подраздела http://www.softboard.ru/index.php?showtopic=51343 и не сделать положенные логи

[Tranzit]

Спасиб прочел, и такое уже проделывал, ничего непомогло, аваст всеравно пишет что тот файл вирус

[Old men]

Tranzit:

А здесь выкладывал, чтобы люди тебе помочь могли? Если не собираетесь выполнять положенные правила, то незачем у людей время отнимать....

[шпилька]

CAP3RSK.EXE :

здесь

здесь

[Tranzit]

вот выложил что дальше?????rsit.rar

rsit.rar

[шпилька]

Где логи AVZ?

[edde]

Логи AVZ прикрепите к следующему сообщению.

[Tranzit]

шпилька, спасиб большое ток осталось вовсем этом разобратся)))

[Tranzit]

а где эти логи АВЗ взять?

[edde]

У меня в подписи, перейдите по ссылке Краткие правила оформления запроса, там всё написано

[Tranzit]

edde, я так и все сделал по этой инструкции, а де лог авз должен находится чет я непойму

[Matias]

В папке, куда вы распаковали AVZ будет папка Log. В ней должны быть два файла.

[Tranzit]

virusinfo_syscure.zip

спасиб, все сделал правильно?

virusinfo_syscure.zip

Изменено 30 ноября, 2009 пользователем akoK

[Matias]

Вы прикрепили virusinfo_cure.zip вместо virusinfo_syscheck.zip.

[Tranzit]

virusinfo_syscheck.zip

спасиб

virusinfo_syscheck.zip

[edde]

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe');TerminateProcessByName('c:\windows\system32\cnab4rpk.exe');QuarantineFile('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe','');QuarantineFile('c:\windows\system32\cnab4rpk.exe','');QuarantineFile('C:\power.bat','');QuarantineFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll','');QuarantineFile('C:\Documents and Settings\ВОВА\Application Data\msmedia.dll','');QuarantineFile('C:\WINDOWS\system32\ms18_word.exe','');QuarantineFile('C:\WINDOWS\system32\braviax.exe','');QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNXP0LOG.DLL','');QuarantineFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\68357552.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\68357551.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\6835755.sys','');DeleteFile('C:\WINDOWS\system32\DRIVERS\68357551.sys');DeleteFile('setup_9.0.0.722_30.11.2009_09-25drv');DeleteFile('C:\WINDOWS\system32\braviax.exe');DeleteFile('C:\WINDOWS\system32\ms18_word.exe');DeleteFile('C:\Documents and Settings\ВОВА\Application Data\msmedia.dll');DeleteFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll');DeleteFile('C:\power.bat');DeleteFile('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe');DeleteFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0');DelBHO('{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}');DelBHO('{88888888-8888-8888-8888-888888888888}');DelBHO('{332A3FE8-529B-47CB-A885-C1DBFA427E1A}');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ms18_word');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','braviax');DeleteService('setup_9.0.0.722_30.11.2009_09-25drv');DeleteService('68357551');DeleteService('E21E39B2E70CA4F0');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\6835755.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\68357551.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\68357552.sys');BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Пофиксить в HJT

R3 - URLSearchHook: (no name) - - (no file)R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dllO2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dllO4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exeO4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exeO4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exeO4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\ВОВА\ms18_word.exeO4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exeO24 - Desktop Component 0: (no name) - file:///E:/То%BBік/b=b

Архив карантина отправьте на myedde<at>operamail.com с темой письма карантин.

Повторите логи

Изменено 30 ноября, 2009 пользователем edde

[edde]

Tranzit

E21E39B2E70CA4F0 это ваша папка, на рабочем столе её наблюдаете?

[thyrex]

+ к edde

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.