вирус

**edde** · 14 июля, 2010

Здравствуйте.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\7299f434.exe','');QuarantineFile('c:\windows\system32\teouyn.exe','');QuarantineFile('C:\WINDOWS\system32\qpxgmcr.exe','');QuarantineFile('C:\WINDOWS\system32\nygcrxp.exe','');QuarantineFile('C:\WINDOWS\system32\tjfdvje.exe','');QuarantineFile('C:\WINDOWS\system32\dqcagar.exe','');QuarantineFile('C:\WINDOWS\system32\dlzsvso.exe','');QuarantineFile('C:\WINDOWS\system32\alzurav.exe','');QuarantineFile('C:\WINDOWS\system32\wpqilui.exe','');QuarantineFile('C:\WINDOWS\system32\sdgvokj.exe','');DeleteFile('C:\WINDOWS\system32\qpxgmcr.exe');DeleteFile('C:\WINDOWS\system32\nygcrxp.exe');DeleteFile('C:\WINDOWS\system32\tjfdvje.exe');DeleteFile('C:\WINDOWS\system32\dqcagar.exe');DeleteFile('C:\WINDOWS\system32\dlzsvso.exe');DeleteFile('C:\WINDOWS\system32\alzurav.exe');DeleteFile('C:\WINDOWS\system32\wpqilui.exe');DeleteFile('C:\WINDOWS\system32\sdgvokj.exe');DeleteFile('c:\windows\system32\7299f434.exe');DeleteFile('c:\windows\system32\teouyn.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end.

Компьютер перезагрузится

Выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

В HijackThis пофиксить строку

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7299f434.exe,C:\WINDOWS\system32\teouyn.exe,

Загрузите нормальную версию авз http://z-oleg.com/avz4.zip

Обновите базы, повторите логи

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

**ZuKKa** · 14 июля, 2010

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Версия базы данных: 4312

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

14.07.2010 13:52:28

mbam-log-2010-07-14 (13-52-28).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)

Просканированные объекты: 216222

Времени прошло: 1 часов, 25 минут, 1 секунд

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 0

Зараженные параметры в реестре: 4

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 12

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:

(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Объекты реестра заражены:

(Вредоносных программ не обнаружено)

Зараженные папки:

(Вредоносных программ не обнаружено)

Зараженные файлы:

D:\Kamael Hellbound RelaX\system_kamael\system\Fire.dll (Malware.Packer.T) -> No action taken.

D:\Рабочий стол\AgentSetup.exe (Rogue.Installer) -> No action taken.

D:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0122470.dll (Malware.Packer.T) -> No action taken.

E:\Games\Call of Duty 4 - Modern Warfare\таблетка\генератор ключей.exe (Trojan.Agent.CK) -> No action taken.

E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114681.Vexe (Worm.WuKill) -> No action taken.

E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114682.Vexe (Worm.WuKill) -> No action taken.

E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0120935.exe (Adware.Agent) -> No action taken.

E:\system_kamael\system_kamael\system\Fire.dll (Malware.Packer.T) -> No action taken.

E:\Новая папка\Adobe Photoshop Lightroom ver 2.1.51220 for Win (x32x64) + RUS\keygen.exe (Malware.Packer.Gen) -> No action taken.

E:\Новая папка\Select.Edition\office_12.0.6425.1000_Select_ru-ru\Crack\msa2007kg.exe (Hacktool.Agent) -> No action taken.

E:\Новая папка\Select.Edition\office_12.0.6425.1000_Select_ru-ru\Crack\msoe2007kg.exe (RiskWare.Tool.CK) -> No action taken.

C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

удалять заражонное?

**ZuKKa** · 14 июля, 2010

вот логи

**edde** · 14 июля, 2010

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0122470.dll','');QuarantineFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114681.Vexe','');QuarantineFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114682.Vexe','');QuarantineFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0120935.exe','');QuarantineFile('C:\Program Files\Common Files\keylog.txt','');DeleteFile('C:\Program Files\Common Files\keylog.txt');DeleteFile('D:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0122470.dll');DeleteFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114681.Vexe');DeleteFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114682.Vexe');DeleteFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0120935.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Удалите в МВАМ

Зараженные параметры в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Лог RSIT так-же сделайте.

**ZuKKa** · 14 июля, 2010

непойму как выполнить

Зараженные параметры в реестре:

Код

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

**edde** · 14 июля, 2010

после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете)

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\zrccjwc.exe','');DeleteFile('C:\WINDOWS\system32\zrccjwc.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

+

Скачайте http://www.freedrweb.com/cureit/ проведите проверку, о результатах отпишитесь

Повторите логи.

**ZuKKa** · 14 июля, 2010

Спасибо всем большое кто помогал все вродибы норм всем БОЛЬШОЕ СПАСИБО не сайт а Супер сай

**edde** · 14 июля, 2010

Где контрольные логи которые я просил сделать?

Результаты карантина

2010-07-14.zip/2010-07-14/avz00008.dta - инфицирован Backdoor.Win32.Shiz.kr

2010-07-14.zip/2010-07-14/avz00009.dta - инфицирован Backdoor.Win32.Shiz.kr

2010-07-14.zip/2010-07-14/avz00010.dta - инфицирован Backdoor.Win32.Shiz.kr

**ZuKKa** · 14 июля, 2010

Файлы которые делать через АВЗ может быть неправельные потомушто программа дела файлы и вконце зависала (после обнавления это начелось) и ешё раз спасибо