Проблема

[ГитКЗ]

У меня проблема подозрение на вирус запускаю Dr. Web CureIt проверка до конца не выполняется. Что делать?

[polword]

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Пришлите файл avz.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

[ГитКЗ]

Файл сохранён как 101025_093834_avz_4cc517daeb1bc.zip
Размер файла 734357
MD5 a098e1a35d803736fca09e7ee88f52d2

Добавлено через 1 час 35 минут

я так понимаю, там сидит файловый вирус, поставил на проверку с Dr.Web LiveUSB, посмотрим что он покажет

[ГитКЗ]

проверился нормально, до конца, ничего не нашел

[ГитКЗ]

что то я стал разочаровываться в Dr.Web, он ничег оне нашел, но вирусы однозначно есть. Вот выдержки из лога HJT:

O4 - HKLM\..\Run: [wuaucldt] c:\windows\system32\wuaucldt.exe
O4 - HKCU\..\Run: [wuaucldt] c:\documents and settings\Администратор\wuaucldt.exe - это появляется после каждой перезагрузки

O4 - HKLM\..\Run: [cpflueph.] C:\WINDOWS\System32\cpflueph..exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Policies\Explorer\Run: [cnen0m] C:\WINDOWS\TEMP\4ikzhd.exe
O4 - HKUS\S-1-5-18\..\Run: [cpflueph.] C:\Documents and Settings\Администратор\cpflueph..exe (User 'SYSTEM') - это фиксится, появлятся рандомно снова

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll - вот это не знаю что такое, но мне очень не нравится.

лог HJT выложил, скачал новый AVZ, попробую еще раз прогнать скрипты, если он опять будет инфицирован, вариант прогнать скрипты с LiveCD?

[ГитКЗ]

по поводу инфицированного avz.exe есть новости? чем он заражен то?

[polword]

- скачайте снова AVZ - 4.35
- обновите базы AVZ
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip

[ГитКЗ]

уже сделал это, скрипт оборвался, avz.exe инфицировался, сейчас загрузился с алкида, и запустил скрипт

[ГитКЗ]

вот логи. скрипты выполнялись не из родной системы, а из под алкида

[polword]

эти логи бесполезны
- попробуйте сделать логи таким AVZ

[ГитКЗ]

таким avz получился пока только один лог, дальше как я понял все носители отключились от системы (жесткий и флешка). Сейчас попробую еще раз сделать

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svchost','');
 QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\System32\wudfhost.exe','');
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\cpflueph~.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('c:\windows\system32\wuaucldt.exe','');
 TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
 DeleteFile('c:\windows\system32\wuaucldt.exe');
 DeleteFile('C:\Documents and Settings\Администратор\cpflueph~.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','cpflueph~');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpflueph~');
 DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 DeleteFile('C:\WINDOWS\system32\svchost');
 DeleteFile('C:\WINDOWS\system32\cmdow.exe');
 DeleteFile('%windir%\Tasks\At1.job');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог Gmer

если не получится сделать лог GMER, сделайте лог Combofix, не получится сделайте лог в безопасном режиме

[ГитКЗ]

второй лог не удается сделать, пишет чт оне удалось создать архив, возможно там проблемы с железом или системой, по этому, первому, логу можно какие нибудь рекомендации сделать? Может быть запустить еще скрипт на поиск руткитов?

Добавлено через 18 минут

Результат загрузки
Файл сохранён как 101027_102142_quarantine_4cc7c4f62c5f7.zip
Размер файла 177265
MD5 5cef45953e8cd560bda4b7830acba276
Файл закачан, спасибо!

[polword]

файл заменили? GMER или Combofix - не получается сделать?
- Замените еще файл C:\WINDOWS\System32\userinit.exe на чистый из дистрибутива.

[ГитКЗ]

спасибо, как сделаю все, выложу логи

[polword]

ждем

[ГитКЗ]

заменить файлы на горячую не получается, защита винды не дает, может быть вместо замены файлов с помощью консоли выполнить команду sfc/scannow?

[ГитКЗ]

вот логи. файл ndis.sys заменил, но антивирус после перезагрузки все равно на нег оругается, хотя восстановление системы отключено. Гмер что-то не грузится с сайта, Комбофикс сейчас сделаю

[ГитКЗ]

ComboFix прокричал что возможно комп заражен Virut'ом, и испуганно самоуничтожился)

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\hvvgyyi');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\hvvgyyi\Parameters');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте такую утилиу и провертесь ей
- Сделайте повторный лог virusinfo_syscheck.zip;