win32.hllw.shadow.based

[io58op]

помогите излечиться от этого вируса ,после удаления антивирусом ,он вновь создаёт какие то библтотеки.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscheck.zip

[Analyzer]

Отключить антивирус/фаервол, интернет;

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sw24.exe','');QuarantineFile('C:\WINDOWS\system32\sw20.exe','');QuarantineFile('C:\DOCUME~1\serg\LOCALS~1\Temp\mc23.tmp','');QuarantineFile('c:\windows\system32\winsys2.exe','');DeleteFile('C:\DOCUME~1\serg\LOCALS~1\Temp\mc23.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(19);RebootWindows(true);end.

после выполнения скрипта компьютер перезагрузится.

после перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Изменено 18 января, 2010 пользователем akoK

[io58op]

вот новые логи ,карантин отправил -жду ответа .а что фиксить надо было ,а то там ничего не написано что фиксить.да, I это флешка логи сделаны при подключенной флешке.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[io58op]

вот логи от программ.

ComboFix.txt

Report.txt

ComboFix.txt

Report.txt

[io58op]

скажите что с логами ?что предпринять дальше?

[akoK]

Проверьте на VT

c:\windows\system32\sw20.exe

c:\windows\system32\sw24.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::Driver::uxmsrFolder::Registry::[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"9278:TCP"= -FileLook::DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Что с проблемами?

[io58op]

а что значит проверить на vt ?это антивирусником просканировать?и ещё этот вирус попал на флэшки,как на них его лечить?

[io58op]

вот новый лог. процессы я просканировал др.вебом- ничего не нашёл .

ComboFix.txt

ComboFix.txt

[шпилька]

а что значит проверить на vt ?

Значит, проверить подозрительные файлы здесь.

и ещё этот вирус попал на флэшки,как на них его лечить?

Логи нужно было делать с подключенными флешками. :blush2:

[io58op]

Файл уже проанализирован:MD5: 3003c313115277aad33469155d740876

First received: 2008.05.21 01:11:36 UTC

Дата: 2010.01.06 02:05:43 UTC [>13D]

Результаты: 0/41

Permalink: analisis/0826c0ab6bf706e727d4d5885dd3e4e8a11dcf7f303cb7f5d0a124b0829ff38f-1262743543

Файл уже проанализирован:MD5: a853e72ad493ab562c2ba84fe9a5cd9c

First received: 2007.03.18 10:09:00 UTC

Дата: 2010.01.09 04:56:50 UTC [>10D]

Результаты: 0/40

Permalink: analisis/25bac4e7c99ec5f23eee31555672406dd8d0ddf8a176900a63eb9dfb981be986-1263013010 вот проверка на VT

при сканировании др.вебом всё равно находит файл библиотек вируса :blush2: а лог с флешками делать при помощи AVZ?

[Analyzer]

повторите лог ComboFix

[edde]

выполните скрипт авз

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\documents and settings\serg\Рабочий стол\µtorrent 1.8.5 (build 17091) leecher pack\utorrent 1.8.5 (17091)_noreport_seeder.exe');TerminateProcessByName('c:\windows\system32\winsys2.exe');QuarantineFile('I:\autorun.inf','');QuarantineFile('c:\documents and settings\serg\Рабочий стол\µtorrent 1.8.5 (build 17091) leecher pack\utorrent 1.8.5 (17091)_noreport_seeder.exe','');QuarantineFile('SetupNTGLM7X.sys','');QuarantineFile('C:\DOCUME~1\serg\LOCALS~1\Temp\mc23.tmp','');QuarantineFile('C:\WINDOWS\System32\Drivers\awcg8t35.SYS','');QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');QuarantineFile('c:\windows\system32\winsys2.exe','');DeleteFile('c:\windows\system32\winsys2.exe');DeleteFile('SetupNTGLM7X.sys');DeleteFile('I:\autorun.inf');DeleteService('SetupNTGLM7X');  BC_ImportALL;  ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

radminустанавливали сами?

повторите логи авз и rsit

Изменено 19 января, 2010 пользователем edde

[io58op]

сделал нове логи авз и рсит,да у меня матиринская плата MSI,радмин ставил сам,карантин я отправил это уже второй ,на первый карантин мне так и не ответили ,на второй я думаю так же не ответят :)

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[edde]

Опишите текущее состояние системы, карантин пришлите на myedde@mail.ru

[io58op]

выслал карантин , при сканировании др.вебом вирусов не обнаружил!!!вроде исцелился :) всем спасибо !!!!ток один вопрос что предпринять чтобы не подхватить его вновь?

[edde]

В карантин к попали только два файла, в них ничего вредного нет. При необходимости переустановите MSI DualCore Center.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[io58op]

Malwarebytes' Anti-Malware 1.44

Версия базы данных: 3607

Windows 5.1.2600 Service Pack 4

Internet Explorer 6.0.2900.2180

21.01.2010 16:19:04

mbam-log-2010-01-21 (16-19-04).txt

Тип проверки: Полная (C:\|D:\|E:\|)

Проверено объектов: 494934

Прошло времени: 1 hour(s), 29 minute(s), 14 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 0

Заражено файлов: 22

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

C:\Documents and Settings\All Users\Документы\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Not selected for removal.

C:\Program Files\Amazing Adventures 2 - Around the World\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.

C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.

C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.

C:\Program Files\Cogs\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP1\A0000146.sys (Malware.Trace) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0000974.sys (Malware.Trace) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0001019.sys (Malware.Trace) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0001087.sys (Malware.Trace) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0001106.sys (Malware.Trace) -> Quarantined and deleted successfully.

C:\Игры от NevoSoft\NevoDRM\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Not selected for removal.

D:\даунлоад\Программы\Scanitto_1.10\Keygen\keygen.exe (Trojan.Downloader) -> Not selected for removal.

E:\Новая папка (2)\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Not selected for removal.

E:\Программы\BlazeVideo_HDTV_Player_2.5\blazevideo.hdtv.player.2.5-ismail.exe (Trojan.Downloader) -> Not selected for removal.

E:\Программы\speed video splitter v2.4.37\Keymaker\Keymaker.exe (Malware.Packer) -> Not selected for removal.

E:\Программы\pfclean30r4\Crack\XF-PFClean30R4-Keygen.exe (Trojan.Downloader) -> Not selected for removal.

E:\Программы\pfclean30r4\Crack\XF-PFClean30R4-Patch.exe (Trojan.Downloader) -> Not selected for removal.

E:\Программы\recove my files\Keygen.exe (Trojan.Downloader) -> Not selected for removal.

E:\Программы\TypingMaster Pro 7.00.755(клава)\TypingMaster_Pro_7.00.755\crack\typingmaster.pro.7.00.755-NoPE.exe (Trojan.Downloader) -> Not selected for removal.

E:\Программы\WinAvi Video converter\Key\keygen.exe (Trojan.Agent) -> Not selected for removal.

E:\Программы\AKVIS.Coloriage.v4.1.282.1068\Coloriage.8bf (Malware.Packer) -> Not selected for removal.

E:\Программы\ALER208154Russian\Keygen\Keygen.exe (Malware.Packer) -> Not selected for removal.

вот лог программы

[akoK]

Не забудьте очистить старые точки восстановления.

[io58op]

все почистил :blush2: