Sanitardiska.com

[Max_NVKZ]

В общем как у многих. Высвечивается окошко с предложением скачать для очистки от вредоносных файлов. Где говорится что Saniterdiska докажет мне что у меня есть вирусы. при нажатии "OK" или "Cancel" ломится на сайт sanitardiska.com.

Глюки замеченные на машине:
1 Собственно выскакивающее окошечко.
2 после проверки машины DRWEB в безопасном режиме и подготовки логов avz. машина перестала пускать пользователй с пустым паролем "вход в систему невозможен в связи с ограничением для учетной записи"
3 невозможно отключить восстановление системы : "ошибка восстановления системы при включении\отключении одного или несколькои устройств. перезагрузите компьютер и повторите попытку"

Заренее благодарен.

[Numb]

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:

Код:

O2 - BHO: (no name) - {BC32625E-1BF0-46DD-B8E2-AEB63BAF3AA0} - C:\WINDOWS\system32\yayAtrsR.dll
O4 - HKLM\..\Run: [54a58e5f] rundll32.exe "C:\WINDOWS\system32\ceergefh.dll",b
O4 - HKLM\..\Run: [BM5796bdc3] Rundll32.exe "C:\WINDOWS\system32\gjsjloqb.dll",s
O20 - Winlogon Notify: byXOiFUO - C:\WINDOWS\SYSTEM32\byXOiFUO.dll

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Fen6\Install\VbRun\HARDLOCKFILTER.SYS','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\MarxDev3.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\MarxDev2.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\MarxDev1.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\CbmDev3.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\CbmDev2.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\CbmDev1.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\CB90Dev3.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\CB90Dev2.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\CB90Dev1.SYS','');
 QuarantineFile('C:\WINDOWS\system32\yayAtrsR.dll','');
 QuarantineFile('C:\WINDOWS\system32\gjsjloqb.dll','');
 QuarantineFile('C:\WINDOWS\system32\ceergefh.dll','');
 QuarantineFile('C:\WINDOWS\system32\byXOiFUO.dll','');
 DeleteFile('C:\WINDOWS\system32\byXOiFUO.dll');
 DeleteFile('C:\WINDOWS\system32\ceergefh.dll');
 DeleteFile('C:\WINDOWS\system32\gjsjloqb.dll');
 DeleteFile('C:\WINDOWS\system32\yayAtrsR.dll');
 DelBHO('{057B1DF9-FB45-47D2-9AE8-FB39F3E62452}');
 DelBHO('{01F355AF-524A-4AA1-A2CE-8F2F03D16042}');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
executerepair(6);
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=25227 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.

[Max_NVKZ]

сделано, прилагаю логи.

[Max_NVKZ]

Забыл выложить

[wise-wistful]

По поводу карантина нужен ответ аналитиков. Тем временем добъём известных врагов.
Профиксите

Код:

O2 - BHO: (no name) - {01F355AF-524A-4AA1-A2CE-8F2F03D16042} - C:\WINDOWS\system32\byXOiFUO.dll (file missing)
O2 - BHO: (no name) - {8D83A19F-9CAA-4ED6-BA54-975FEE7E1A5B} - C:\WINDOWS\system32\yayAtrsR.dll (file missing)
O20 - Winlogon Notify: byXOiFUO - byXOiFUO.dll (file missing)

Повторите логи начиная с п.10 правил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\byxoifuo.dll - not-a-virus:AdWare.Win32.Virtumonde.tsb (DrWEB: Trojan.Virtumod.based.11)
  2. c:\\windows\\system32\\ceergefh.dll - Trojan.Win32.Monder.yc (DrWEB: Trojan.Virtumod.based.21)
  3. c:\\windows\\system32\\gjsjloqb.dll - Trojan.Win32.Monder.ye (DrWEB: Trojan.Virtumod.based.16)
  4. c:\\windows\\system32\\yayatrsr.dll - not-a-virus:AdWare.Win32.Virtumonde.zim (DrWEB: Trojan.Virtumod.based.16)