Help поймал вирус (AVZ+HiJ внутри)

[dmitros]

Постоянно идёт трафик исходящий, ну и соответственно в ответ входящий....

Очень прошу помощи, заранее благодарю!

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\WINDOWS\system32\maxpaynow1.exe','');
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[3].htm','');
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[1].htm','');
 QuarantineFile('E:\WINDOWS\system32\Drivers\csrbc01.sys','');
 QuarantineFile('E:\WINDOWS\msupdater.exe','');
 QuarantineFile('e:\windows\system32\wind32.exe','');
 QuarantineFile('e:\windows\system32\vedxga1me4t1.exe','');
 QuarantineFile('e:\windows\system32\vedxg4am1et2.exe','');
 QuarantineFile('e:\windows\msupdater.exe','');
 QuarantineFile('e:\windows\system32\back.exe.exe','');
 DeleteFile('e:\windows\system32\back.exe.exe');
 DeleteFile('e:\windows\msupdater.exe');
 DeleteFile('e:\windows\system32\vedxg4am1et2.exe');
 DeleteFile('e:\windows\system32\vedxga1me4t1.exe');
 DeleteFile('e:\windows\system32\wind32.exe');
 DeleteFile('E:\WINDOWS\msupdater.exe');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[1].htm');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[2].htm');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[3].htm');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[dmitros]

А вот и последние логи...

[Rene-gad]

А вот (последний) скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('e:\windows\system32\maxpaynow1.exe');
 QuarantineFile('E:\WINDOWS\system32\maxpaynow1.exe','');
 DeleteFile('E:\WINDOWS\system32\maxpaynow1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После ребута - карантин по правилам и логи в студию.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\0dqr45uv\\access[1].htm - not-a-virusorn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
  2. e:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\0dqr45uv\\access[3].htm - not-a-virusorn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
  3. e:\\windows\\msupdater.exe - Email-Worm.Win32.Zhelatin.zy (DrWEB: Trojan.DownLoader.62867)
  4. e:\\windows\\system32\\back.exe.exe - Email-Worm.Win32.Zhelatin.zy (DrWEB: Trojan.DownLoader.62867)
  5. e:\\windows\\system32\\maxpaynow1.exe - Trojan-Downloader.Win32.Tibs.aby (DrWEB: Trojan.Packed.510)
  6. e:\\windows\\system32\\vedxga1me4t1.exe - Trojan-Downloader.Win32.Tibs.aby (DrWEB: Trojan.Packed.510)
  7. e:\\windows\\system32\\vedxga5me3.exe - Trojan-Downloader.Win32.Small.xhc (DrWEB: Trojan.DownLoad.1015)
  8. e:\\windows\\system32\\vedxg4am1et2.exe - Trojan-Downloader.Win32.Tibs.aby (DrWEB: Trojan.Packed.510)
  9. e:\\windows\\system32\\wind32.exe - Trojan-Downloader.Win32.Tibs.abp (DrWEB: Trojan.Packed.497)