Your computer is infected!

[SiL3nT]

появился процес buritos.exe и в правом нижнем углу экрана выскакивает табличка чтоб скачать антиспайваре прогу

[V_Bond]

скачайте C:\WINDOWS\System32\Drivers\Winfj82.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
 QuarantineFile('C:\WINDOWS\system32\karina.dat','');
 QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 DeleteService('Winnq71');
 DeleteService('Winfj82');
 DeleteService('xmlprovAlerter');
 DeleteService('VSSSysmonLog');
 DeleteService('UMWdfMSDTC');
 DeleteService('SysmonLogHTTPFilter');
 DeleteService('RpcSsSCardSvr');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winfj82.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\system32\buritos.exe','');
 DeleteFile('c:\windows\system32\buritos.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winfj82.sys');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfj82.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnq71.sys');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\buritos.exe');
 DeleteFile('C:\WINDOWS\system32\karina.dat');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[SiL3nT]

удалил C:\WINDOWS\System32\Drivers\Winfj82.sys
скрипт выполнил
вот логи

[SiL3nT]

зы.карантин выслал

[V_Bond]

пофиксите...

Код:

O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winfj82');
BC_DeleteSvc('VSSSysmonLog');
BC_DeleteSvc('UMWdfMSDTC');
BC_DeleteSvc('RpcSsSCardSvrNetDDE');
BC_DeleteSvc('RpcSsSCardSvr');
BC_DeleteSvc('RasAutoNtmsSvc');
 TerminateProcessByName('c:\windows\buritos.exe');
 DeleteFile('c:\windows\buritos.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfj82.sys');
 DeleteFile('C:\WINDOWS\karina.dat');
 DeleteFile('C:\WINDOWS\buritos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[SiL3nT]

вот:

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
 QuarantineFile('C:\Documents and Settings\SiLenT\Local Settings\Temporary Internet Files\Content.IE5\JZ0XU5WF\Install[1].exe','');
 DeleteFile('C:\Documents and Settings\SiLenT\Local Settings\Temporary Internet Files\Content.IE5\JZ0XU5WF\Install[1].exe');
 DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи начиная с пункта 10 правил ...

[SiL3nT]

карантин выслал,вот логи:

[V_Bond]

ничего плохого ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\silent\\local settings\\temporary internet files\\content.ie5\\jz0xu5wf\\install[1].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
  2. c:\\windows\\system32\\buritos.exe - Trojan-Downloader.Win32.Agent.abzk (DrWEB: Trojan.Packed.612)
  3. c:\\windows\\system32\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739)
  4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ays (DrWEB: Trojan.Packed.573)
  5. c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120