Win32/Xorer.gen!A Win32/SillyShareCopy.gen JS/Xorer.J Win32/Silly_P2P.B и возможно другие...

**fbi-ns** · 10.01.2010, 10:06

День добрый и с прошедшими праздниками!

Дела такое. РС запускается с какими-то ошибками с памятью. Потом после череды вылазающих бесконечно окон выходит "якобы" антивирус, сканирующий корневые папки винды и находящий кучу дряни. После около минуты или двух, выдает решение проблем в виде ЛЕЧИТЬ ВСЕ, УДАЛИТЬ ВСЕ, ОТПРАВИТЬ НА КАРАНТИН. При выборе любого из вариантов запрашивается выслать смс и тоже "якобы" за 10руб.
Попытался я вылечить это дело утилитами, что предлагается вашим сайтом. Не получилось. Переименовал экзешники avz HijackThis ComboFix и даже CureIt. Не один не может пробиться. А при удачных стечениях обстоятельств, если и удается (авз - появляется первое окно), то сразу же вирус перегружает винду. Пытался загрузиться через безопасный и там проделать эти операции... не помогло хоть и загружался безопасный мод. Якобы антивирус и там предлагает выслать смс... Попробовал с загрузочного диска LiveDr.Webю Нашел не мало дряни, но вирус удалой, из компа ни ногой.

Есть предложения по решению?

P.S. Прикрепил скрин якобы "антивируса".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 10.01.2010, 10:41

Здрвствуйте!
Попробуйте такой вариант: в БИОСе установите дату, например, 2020 год.
Затем пробуйте сделать логи.

**fbi-ns** · 10.01.2010, 11:51

Даты и года менял дважды. АВЗ запустился, но вместо привычных слов написанных на выполняющих кнопках и закладках появились значки и цифры. Интуитивно помня где находится тот пункт, что нужен для запуска сканирования и в конечном итого получения лога, появляется нужное окно с пустым содержимым.
Скрин прикладываю.

**Шапельский Александр** · 10.01.2010, 11:59

1) Скачайте http://download.bleepingcomputer.com/Merijn/adsspy.zip
2) Загрузите компьютер с какого-нибудь LiveCD на базе Windows
3) Запустите скаченный ADSSpy.exe
4) Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5) Нажмите кнопку Scan the system for alternate data stream
6) На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View steam contens
7) Нажмите кнопку Save to disk
8 ) Сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of ....
9) Нажмите кнопку Back
10) Повторите с шага 6 процедуру для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить)
11) Запакуйте сохраненные файлы в zip-архив с паролем virus
и загрузите через ссылку Прислать запрошенный карантин вверху этой темы.

**fbi-ns** · 10.01.2010, 12:31

Скачал указанный вами файл. Загрузился с загрузочного диска на базе Windows. Стартовал программу с проверкой папки с установленной виндой. Снизу строки не появились...

**Шапельский Александр** · 10.01.2010, 12:48

Пробуем такой варинт. Скачайте и запустите утилиту. Затем пробуйте сделать логи

**fbi-ns** · 10.01.2010, 14:14

Запускал утилиту простом и безопасных режимах. Ничего не обнаружила. После попытался сделать лог. АВЗ в нормальной загрузке показывает цифры со знаками снова, а в безопасном окно с нормальным оформлением только появляется и сразу идет перегрузка.

**Шапельский Александр** · 10.01.2010, 15:33

Полиморфным АВЗ пробовали делать логи?

Добавлено через 4 минуты

Попробуйте сделать лог Gmer

**fbi-ns** · 10.01.2010, 16:10

Полиморфный загружается до первой странички в обоих режимах с нормальным распознанием шрифта, но сразу же перезагружается.
gmer при запуске (не нажимая еще scan) проверяет какие-то каталоги, толи загружается, но в итоге выходит окно виндоус с предложением выслать отчет майкрософту на решение проблемы.
Как так... неужели этот паганец так хорошо зацепился?!

**Шапельский Александр** · 10.01.2010, 17:58

Делаем паузу, надо подумать.

**kps** · 10.01.2010, 20:53

Попробуйте запустить переименованный IceSword http://www.megaupload.com/?d=AUGYD37C. Сообщите, если запустится.
Если не запустится, то попробуйте проверить комп с помощью Kaspersky Rescue Disk http://support.kaspersky.ru/faq/?qid=208636335

**fbi-ns** · 10.01.2010, 21:22

Сообщение от kps

Если не запустится, то попробуйте проверить комп с помощью Kaspersky Rescue Disk http://support.kaspersky.ru/faq/?qid=208636335

Было бы славно, если бы упамянывалась ссылка для скачивания там, где можно взять исходный образ диска. И у меня нет Kaspersky Internet Security 2010 для создания диска. Можно ли загрузить пробную, а с нее уже стряпать загрузочный диск?

**kps** · 10.01.2010, 21:36

Вот что мне удалось найти:

Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), с возможностью обновить базы из локального каталога (скачать базы можно утилитой KLUpdater) или даже из интернета (dhcp). Записываем диск, загружаемся и проверяем системы на вирусы. Размер образа 115Mb.

**Nikkollo** · 11.01.2010, 13:37

Сообщение от fbi-ns

АВЗ запустился, но вместо привычных слов написанных на выполняющих кнопках и закладках появились значки и цифры.

Попробуйте так:
В папке AVZ при помощи блокнота создайте 2 текстовых документа (txt).
В первый сохраните текст:

Код:

begin
 ExecuteStdScr(2);
end.

и переименуйте документ в script.txt.

Во второй сохраните текст:

Код:

avz.exe Script=script.txt

и переименуйте документ в runme.bat.

Запустите runme.bat.
Должен запуститься AVZ и сразу же начаться исследование системы.
Если оно успешно закончится, в папке LOG внутри папки AVZ появится virusinfo_syscheck.zip, его приложите в теме.

**fbi-ns** · 11.01.2010, 16:15

Здравствуйте снова.
Прошу прощения за долгое отсутствие, но дел не в про ворот на работе.
Большое спасибо kps за ссылку на загрузочный диск. Видать плохо искал я.
Теперь к делу. IceSword не запустился. Загрузочный диск загрузился, провел обновление ант.баз. Запустил сканирование и вот, что в итоге было найдено:
1) Win32.Piker.bjb
2) Win32.FlyStudio.cc
3) Win32.AutoRun.bsu/.bbuj
4) Win32.MyCentria.c/.o
И множество их копий. УДАЛЕНО (Мерси Боку)! перезагрузил ПК. Загрузка в стандартном режиме прошла успешно. Ошибок с тучей всплывающих окон больше не наблюдал. Якобы "антивирус" не появился (Алелуя)! Не теряя времени поставил антивирус НОД32, обновил базы, запустил полное сканирование. Нашел 2 инфицированных файла - удалено. После, для излишнего убеждения запустил CureIt - чисто. Ура!
Единственно не активен стал диспетчер задач, но это лечимо. Займусь, как только руки дойдут...

Nikkollo, благодарю за ваше предложение решения проблемы, но это уже не актуально. Если только не заражать комп снова для проверки вашего метода, чего бы мне меньше всего хотелось. (:

Нужно ли теперь делать и присылать логи?

**Шапельский Александр** · 11.01.2010, 16:40

Сообщение от fbi-ns

Нужно ли теперь делать и присылать логи?

Да! Надо убедиться, что все чисто! А заодно исправить ошибки (диспетчер задач и т.п.)

**fbi-ns** · 12.01.2010, 13:55

Прилагаю логи.

**Шапельский Александр** · 12.01.2010, 14:35

Не надо ставить пароль на логи

Как я смогу Вам помочь

Пофиксить в Hijack следующие строки:

Код:

O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O20 - AppInit_DLLs: C:\DOCUME~1\user\LOCALS~1\Temp\evfkvad.dll
O21 - SSODL: UpdateCheck - {71C413F6-3550-430D-8547-94C019E6CDD6} - (no file)

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\Autorun.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\evfkvad.dll','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\evfkvad.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Отключите восстановление системы!!!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.