Комп сильно заражен!

[dragon772]

hijackthis - блокируется,лог не создается.
Как и при выполнении скрипта лечение/карантина,тоже зависает.
Только один стандартный скрипт проходит.
Все приложения были запущены под видом pif файлов.
Есть файл карантина.

[Гриша]

Сначала избавимся от Xorer'а

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
 DeleteFile('c:\windows\system32\com\lsass.exe');
 DeleteFile('c:\windows\system32\com\smss.exe');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
 DeleteFile('C:\pagefile.pif');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\NetApi000.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
 DeleteFile('C:\037589.log');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
 DeleteFileMask('c:\', 'lsass.exe.*', false);
 DeleteFile('C:\WINDOWS\System32\svshost.dll');     
 DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.

Повторите логи...

[dragon772]

новые логи...

при выполнении скрипта лечение/карантина AVZ тоже зависает.

[Гриша]

Отключите восстановление системы и интернет!

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\WinNt64.dll
C:\WINDOWS\System32\Drivers\Uyc36.sys
C:\WINDOWS\System32\Drivers\Yupc45.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

Пофиксить

Код:

O20 - AppInit_DLLs: C:\WINDOWS\System32\dnsq.dll
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);    
SetAVZGuardStatus(True);
 DeleteService('Uyc36');
 DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uyc36.sys');
 DeleteFile('WinNt64.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yupc45.sys ');     
 DeleteFile('C:\WINDOWS\System32\dnsq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Uyc36 ');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[dragon772]

Логи...
Сейчас комп нормально загружается/перегружается.

[Гриша]

Карантин(virusinfo_cure.zip) из темы уберите,еще нужен лог virusinfo_syscure...

[dragon772]

Sorry...ошибочка вышла.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\userinit.exe ',' ');       
 DeleteService('Uyc36');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uyc36.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Uyc36');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи начиная с п.10 правил

Это кошмар:

Код:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Если вы себя уважаете поставьте SP3,жить станет легче

[dragon772]

Новые логи...

[Гриша]

Не вижу вашего карантина?

[dragon772]

Файл сохранён как 080729_094838_virus_488f2dc6c2d55.zip
Размер файла 591
MD5 09e0a9e17108920e26609e8a408be8e1

[Гриша]

Карантин пустой,пришлите этот файл userinit.exe согласно приложению 2 правил...

[dragon772]

Файл сохранён как 080730_014051_virus_48900cf3a987f.zip
Размер файла 8919
MD5 af70db84efe058b5c42057de6beb2922

Дико извиняюсь. В целях обеспечения безопастности,данный файл был заменен на "чистый" из дистрибутива. А "грязный" файл,отправил.

Добавлено через 4 часа 48 минут

На данный момент в системе вирусов нет.