Trojan.Downloader.Phide.A вот он этот коварный тип

[Kacnep]

AVZ 4.29 от 12.12.07 не видит.
BitDefender Antivirus Plus v.10 сборка 247 видит но ни чего с ним поделать не может...
-------------------------------
Итого:
C:\WINDOWS\system32\servmswinp.dll Зараженых: Trojan.Downloader.Phide.A
C:\WINDOWS\system32\servmswinp.dll Лечение не удалось
C:\WINDOWS\system32\servmswinp.dll Перемещение не удалось
--------------------------------
Запускаю AVZ с AVZGuard(ом) и удаляю его в ручную:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\servmswinp.dll)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\WINDOWS\system32\servmswinp.dll)
>>>Для удаления файла C:\WINDOWS\system32\servmswinp.dll необходима перезагрузка
Удален элемент Winlogon, ссылающийся на C:\WINDOWS\system32\servmswinp.dll
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winup2date,DLLNa me,C:\WINDOWS\system32\servmswinp.dll
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winup2date,DLLNa me,C:\WINDOWS\system32\servmswinp.dll
-----------------------------------
После этого перегружаюсь... Но коварный тип на месте снова...

[Макcим]

Выполните правила оформления запроса.

[Kacnep]

Здравствуйте. Вот сделал как Вы мне сказали.

Вот тут ещё заметил, что на русский язык "клава" переключаться пересталa. Веселуха... Зарание спасибо.

[rubin]

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('c:\windows\system32\winzzd32.dll','');
 QuarantineFile('C:\WINDOWS\system32\hjthis101.dll','');
 QuarantineFile('C:\WINDOWS\system32\fontextg.dll','');
 QuarantineFile('C:\WINDOWS\system32\fontext_a.dll','');
 QuarantineFile('C:\WINDOWS\d3dxofa.dll','');
 QuarantineFile('C:\WINDOWS\admparsez.dll','');
 QuarantineFile('C:\WINDOWS\system32\clc.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\WINDOWS\fontexte.dll','');
 QuarantineFile('C:\WINDOWS\system32\sxserv101.exe','');
 QuarantineFile('C:\WINDOWS\system32\XRegLib.dll','');
 QuarantineFile('C:\WINDOWS\system32\servmswinp.dll','');
 QuarantineFile(':\Program Files\Common Files\{045498BC-0A65-1049-1020-050715050007}\Update.exe','');
 DeleteFile('C:\WINDOWS\fontexte.dll');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('c:\windows\system32\winzzd32.dll');
 DeleteFile('C:\WINDOWS\system32\hjthis101.dll');
 DeleteFile('C:\WINDOWS\system32\fontextg.dll');
 DeleteFile('C:\WINDOWS\system32\fontext_a.dll');
 DeleteFile('C:\WINDOWS\d3dxofa.dll');
 DeleteFile('C:\WINDOWS\admparsez.dll');
 DeleteFile('C:\WINDOWS\system32\sxserv101.exe');
 DeleteFile('C:\WINDOWS\system32\servmswinp.dll');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Карантин пришлите по ссылке http://virusinfo.info/upload_virus.php?tid=16268
Пофиксьте в HiJackThis:

Код:

O2 - BHO: (no name) - {0B5F7FDF-0717-45BF-B49D-695F3168C7FE} - (no file)
O2 - BHO: (no name) - {6B754AA2-0CE7-4822-9865-E33AFD03E407} - C:\WINDOWS\system32\fontextg.dll (file missing)
O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00405} - C:\WINDOWS\fontexte.dll (file missing)
O2 - BHO: (no name) - {D1159422-16E3-462F-A93D-FB718E100407} - C:\WINDOWS\d3dxofa.dll (file missing)
O2 - BHO: (no name) - {D4C5947D-16E3-462F-A93D-FB718E100406} - C:\WINDOWS\system32\fontext_a.dll (file missing)
O2 - BHO: (no name) - {DDEC2387-6435-46B6-AF8C-1075F6EBF08B} - C:\WINDOWS\admparsez.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O20 - Winlogon Notify: winup2date - C:\WINDOWS\system32\servmswinp.dll
O20 - Winlogon Notify: winup2date- - C:\WINDOWS\
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\
O20 - Winlogon Notify: winzzd32- - winzzd32.dll (file missing)
O22 - SharedTaskScheduler: z - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O22 - SharedTaskScheduler: Master Browseui - {0B5F7FDF-0717-45BF-B49D-695F3168C7FE} - (no file)

[Kacnep]

Здравствуйте
Результат загрузки

Файл сохранён как080114_014437_virus_478b12e5aa4ea.zipРазмер файла467721MD5be67b6afe58c35c3a1c4274be4142ea9Файл закачан, спасибо!


Всё сделал, как Вы просили. Спасибо.
Пойду гульну.и посмотрю что получилось.

[V_Bond]

в карантине только один файл ....
C:\WINDOWS\system32\XRegLib.dll -чистый ...
повторите логи ...

[Kacnep]

Вот выкладываю новые логи, что после "кровавой чистки" получились. Там вроде всё гут А карантинные ещё раз высылаю. В вирус.зип 30 файлов должно быть. сам смотрел.
С уважением, Каспер.
З.Ы. Сейчас ещё один раз карантин вышлю. Вдруг первый глюкануло.
3.3.Ы.Результат загрузки
Файл сохранён как 080114_052628_virus_478b46e40ea57.zip
Размер файла 467721 MD5 dc85bd4f2b3a14f14f80151bd0b76f3d
Файл закачан, спасибо!

[V_Bond]

в логах ничего подозрительного ....

[Kacnep]

в логах ничего подозрительного ....

Спасибо. Теперь зверя моего поймали?! Я Вам его выслал. Для коллекции к пивку потянет?