Помогите

[OLEGARX]

При работе с литературным сайтом (hттp://www.strana-oz.ru/authors/?author=638), после скачивания медицинской статьи, комп(Win XP SP2, IE6.0.2900.2180.xpsp_sp2) заразился очень неприятным вирусом. К мышке намертво прикрепляется окно(что не даёт пользоваться мышкой) с рекламой гей-порно сайта и предложением послать смс(на популярные кидальные номера) для того, чтоб это всё отключить. Система была под NOD32 с актуальными базами. Сканирование винта с заражённого компа последними: др.Вебовским CureIt, касперовским Remuval Tool, NOD32 ничего не дало. Запустить Remuval Tool на заражённом не удалось, но нет уверенности, что это из-за вируса. Открыть на заражённом компе диспечер задач невозможно, точнее он его запускает и сразу сворачивает в трэй. При сканировании винта каспером 2009 с последними базами он вроде обнаружился эвристикой как "Trojan-Downloader.script.generic", но его удаление ничего не дало, в смысле окно с гей-информером никуда не делось...

[PavelA]

Скачай и запусти AVZ из моей подписи.

[OLEGARX]

Скачай и запусти AVZ из моей подписи.

Два вопроса:

1. Именно этот? Просто свежий AVZ есть, со свежими базами...
2. На заражённом компе запускать или можно просто винт просканировать?

[light59]

Делайте логи в скаченном avz

[PavelA]

да, именно это. Запускать на зараженном.
Можно вот этим попробовать z-oleg.com\avz.exe

[OLEGARX]

да, именно это. Запускать на зараженном.
Можно вот этим попробовать z-oleg.com\avz.exe

Собственно заражённый винт на нормальном компе уже просканил. Однако что-то нашлось:

E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc43.05\Fw Копцепция развития здравоохранения в области редких болезней.msg/{MS-OLE}/\__recip_version1.0_#00000001\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc67.msg/{MS-OLE}/\__recip_version1.0_#00000008\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

Ни один авирь этого не видел, но это ни то, походу. По крайней мере удаление ничего не дало...


P.S. Кстати, а по ссылке никто не ходил?

[PavelA]

Мне логи с системы нужны. Поизучаем, выдадим вердикт.

[OLEGARX]

Мне логи с системы нужны. Поизучаем, выдадим вердикт.

Понимаю, просто работать в винде с клавы(без мыши), это то ещё удовольствие. Пока вроде скан на заражённом запустил, надеюсь и с логом всё плучится...

[Rene-gad]

А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.

[OLEGARX]

А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.

Не... Мышь стандартная, я выше писал, что окно с рекламой гей сайта и предложением заплатить за мышкой болтается. Можно только на кнопочку "отключить" нажать, остальному мешает...

[OLEGARX]

Мне логи с системы нужны. Поизучаем, выдадим вердикт.

Вот, лог с заражённого. Вызывает подозрение svchost, который в C:\Program Files\Microsoft Common лежит, а не в C:\WINDOWS\system32

Причем, его удаление привело к тому, загрузка зависает на прорисовке рабочего стола, т.е. только картинка стола прорисовывается и все...

Кстати, размер этого svchost 23216 вместо 14336...

[PavelA]

Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.

Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".

[OLEGARX]

Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.

Собственно с главной проблемой(гей-информером) справились сами. Процесс(mscmd.exe) просто из автозагрузки в настройке системы убрали, правда на него совершенно никакой авирь напрямую не показал, AVZ в том числе. Если надо сам вирус пришлю...

А вот svchost про который раньше говорил, походу тоже троян и убрать его хочется... логи по правилам прикрепляю...

...Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".

Насчет этого не понял. Сейчас это сделать? не дожидаясь заключения(скриптов) от Вас?

[PavelA]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('c:\huadio.tmp','');
 DeleteService('autorun');
 QuarantineFile('c:\windows\system32\mscmd.exe','');
 TerminateProcessByName('c:\windows\system32\mscmd.exe');
 DeleteFile('c:\windows\system32\mscmd.exe');
 DeleteFile('c:\huadio.tmp');
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
end.

Сделать заново логи.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42380
Да, и еще, после окончания лечения надо будет менять пароли.

[OLEGARX]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\huadio.tmp','');
 DeleteService('autorun');
 QuarantineFile('c:\windows\system32\mscmd.exe','');
 TerminateProcessByName('c:\windows\system32\mscmd.exe');
 DeleteFile('c:\windows\system32\mscmd.exe');
 DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
end.

Специально для Вас снова запустил на компе вирус, скрипт лечения сработал нормально. Правда выделенного не было уже... Честно говоря не помню, чтоб это всё хоть чем-нибудь находилось и чистилось... Кстати, что за фиговина(C:\WINDOWS\system32\drivers\vdezmza1.sys 13312) во время лечения пролезть попыталась?

Сделать заново логи.

позже скину, если надо, сегодня не успею уже...

Загрузить карантин по Правилам

Загрузил...

[PavelA]

C:\WINDOWS\system32\drivers\vdezmza1.sys - это нормальный файл, нужный для лечения.

Все то, что написано в скрипте, когда-то жило на машине.
ntos.exe - ворователь паролей.
MsSip*.exe - это в инсталяшку Зверя зашито. Один раз выполняется, а из автозагрузки не убирается.

[Гриша]

vdezmza1.sys-драйвер AVZ...

[PavelA]

vdezmza1.sys-драйвер AVZ...

Офф: Грише. С возвращением на службу.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.addp
  2. c:\windows\system32\mscmd.exe - Trojan-Ransom.Win32.Gazon.c