Подозрение на вирусы

**compik** · 23.03.2009, 02:02

Подозрение на вирусы..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 23.03.2009, 02:52

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Grish\Start Menu\Programs\Startup\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
 QuarantineFile('C:\Documents and Settings\Grish\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Armen\Local Settings\Temporary Internet Files\Content.IE5\0B0MWJZ1\svhost1[1].exe','');
DeleteFile('C:\Documents and Settings\Armen\Local Settings\Temporary Internet Files\Content.IE5\0B0MWJZ1\svhost1[1].exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temporary Internet Files\Content.IE5\KUS5OVAX\svhost1[1].exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temporary Internet Files\Content.IE5\KUS5OVAX\svhost1[2].exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temporary Internet Files\Content.IE5\KUS5OVAX\svhost1[3].exe');
 DeleteFile('C:\Documents and Settings\Grish\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\Documents and Settings\Grish\Start Menu\Programs\Startup\userinit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=42284).
Сделайте новые логи.

**compik** · 23.03.2009, 11:20

Выполнил скрипт.
Вирусы кажется удалились, но компьютер стал сильно тормозить..

И еще вопрос, как можно с помощю AVZ воостоновить стандартные настройки ?

**Bratez** · 23.03.2009, 11:27

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Добавлено через 27 секунд

"Стандартные настройки" - что имеется ввиду?

**compik** · 23.03.2009, 11:49

Сообщение от Bratez

Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Карантин выслал, логи повторил.

Результат загрузки
Файл сохранён как 090323_114554_virus_49c74c42e270f.zip
Размер файла 137470
MD5 e8bc8dca2ea776d894f3232d914fd14a
Файл закачан, спасибо!

Сообщение от Bratez

"Стандартные настройки" - что имеется ввиду?

в AVZ есть "Мастер поиска и устранения проблем"

**Bratez** · 23.03.2009, 13:51

В логах больше ничего плохого не видно.

Сообщение от compik

в AVZ есть "Мастер поиска и устранения проблем"

Есть такой.

**compik** · 23.03.2009, 15:48

Зашел с другого юзера, вирус сново появился.
Посмотрел startup вирус лежит во всех 3 юзерах.

Сделал сново логи, лог п.1(virusinfo_syscure.zip) некак сделать не получается, компьютер зависает и приходится делать рестарт, и так и за вируса компьютер очень тормозит.

**Bratez** · 23.03.2009, 15:55

Вот скрипт для этого юзера:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Armen\Armen.exe');
 DeleteFile('C:\Documents and Settings\Armen\Start Menu\Programs\Startup\userinit.exe');
 DeleteFile('C:\Documents and Settings\Armen\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati64si');
BC_Activate;
RebootWindows(true);
end.

А вообще-то ваш DrWeb этот вирус знает, наверно базы не обновляете! Обновите и просканируйте компьютер полностью, он должен справиться.

**compik** · 23.03.2009, 16:06

DrWeb находит вирус, удаляет, но он сново появляется.

**CyberHelper** · 24.03.2009, 16:06

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\grish\start menu\programs\startup\userinit.exe - P2P-Worm.Win32.Socks.jo ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )
2. c:\documents and settings\grish\svchost.exe - P2P-Worm.Win32.Socks.jo ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )
3. c:\documents and settings\localservice\svchost.exe - P2P-Worm.Win32.Socks.jo ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )
4. c:\windows\system32\drivers\services.exe - P2P-Worm.Win32.Socks.jo ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )

Подозрение на вирусы (заявка № 42284)

Опции темы