Вирус MSNbootdb.exe

[maks_ddd]

Здравствуйте!

Я подцепил вирус. ((( Сперва он выгрузил мой антивирь (Drweb) и отключил службы типа taskmgr and regedit и т.п.

Я их попробовал включить, но они появлялись на секунду и исчезали, а потом снова отключились. Основной файл сохранился как системный в Windows/system32/msnbootdb.exe
Он же прописался в автозагрузку. Когда я его оттуда удаляю, через секунду он снова появляется, т.е из startup он не удаляется.

В program files он создал директорию Bonjour куда прописал dll свою.

Никакими Антивирусами не определяется (drweb вообще не видит, утилита AVP показывает что есть скрытые процессы, но сам файл за вирус не принимает.

Он отрубил все админские службы типа msconfig, regedit и т.п (как восстановить после удаления?)
И разрешил службы удалённого администрирования.

Что делать - не знаю. Если вы мне поможите - буду очень признателен, если нет - то загружусь в safemo и попробую удалить вручную.

В процессах он не видится (скрывает) и просто вырубить процесс у меня не получилось.

Во вложении - скопия самого вируса (что смог) + логи сканов.

Очень н адеюсь на поддержку!!
Спасибо.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\chaka\LOCALS~1\Temp\r8TU7d3H.sys','');
 TerminateProcessByName('c:\windows\system32\msnbootdb.exe');
 QuarantineFile('c:\windows\system32\msnbootdb.exe','');
 DeleteFile('c:\windows\system32\msnbootdb.exe');
 DeleteFile('C:\DOCUME~1\chaka\LOCALS~1\Temp\r8TU7d3H.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
сделайте полный комплект логов

[maks_ddd]

Доброй ночи! Сорри что пишу с задержкой на сутки - только с работы пришёл..

Господа, спасибо Вам огромное за оперативность и профессиональность.
Запустил скрипт, при перезагрузке очень стрёмно было, но всё ОК - система чистая!

Только, папка Карантин - пустая, отправлять оттуда нечего. Первые логи (и exe вируса), которые я сюда выкладывал (нарушая правила, сорри) - остались, могу их прислать куда-нить ??

C:\DOCUME~1\chaka\LOCALS~1\Temp\r8TU7d3H.sys видимо не удалось для Вас сохранить.

Ещё, хотел узнать, что делать с этим: (если это, конечно, в вашей компетенции)

>> Заблокированы настройки системы System Restore

параметр HKLMACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig поставил значение 0 , но она всё равно не разблокировалась..

Сейчас обновил базы AVZ и просканировал память снова (до скана дисков пока н дошёл) - и она снова сообщила о перехваченных процессах (лог прикрепил). Скажите, это норм, или снова что-то нето? Комп более (после его перезагр. вашим скриптом) не перезагружал.

Спасибо за поддержку!

[pig]

Было написано:

сделайте полный комплект логов

[maks_ddd]

Вот.

Блин, что-то я всё читаю после нажатия кнопки "загрузить" ((

[Гриша]

Скачать,,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\msnbootdb.exe
C:\DOCUME~1\chaka\LOCALS~1\Temp\r8TU7d3H.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

И выполнить скрипт V_Bond, повторите логи...

[maks_ddd]

Скачать,,меню,File,появится аналог проводника,найти:

Код:
C:\WINDOWS\system32\msnbootdb.exe
C:\DOCUME~1\chaka\LOCALS~1\Temp\r8TU7d3H.sys

Файлов этих, а так же rK75LmQ9.sys программа не нашла, удалять нечего.

Не понял как там логи делать, вот несколько скринов в аттаче.

Вечером запущу ещё раз скрипт.

[Гриша]

Скрипт запустите и повторите логи...

[maks_ddd]

Выполнил. Всё ок вроде. Ещё что-нибудь?

Огромное Вам спасибо! И ещё раз извините за мою сумбурную речь

[Гриша]

Логи нужны по правилам...