Tupe win32 (модификация) или непонятный червь

[Isabela]

Здравствуйте помогите,непонятный вирус

Симптомы: вирус скачал что-то из интернета, NOD32 заблокировал загрузку, после чего сразу появилось два трояна непонятной модификации (3984 базы). После этого NOD32, при попытке просканровать компьютер, пишет что CRS фаил повреждён или инфицирован. также перестают работать видеокодеки и любой инсталятор. Попытка переустановить систему результатов не дала,(SP 3) как только настраивается интернет, сразу же происходит загрузка фаила и всё по новой.

P.S. Вирус создает фаил в папке пользователя reader_s.exe, в папке windows несколько фаилов с расширением .temp, reader_s.exe помещается в автозагрузку.Возможно поражает java.Также прописывается в фаил Hosts.

[light59]

Код:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Заархивируйте файл avz.exe с паролем virus и пришлите по ссылке "Прислать запрошенный карантин".

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\Egorik\reader_s.exe','');
 DeleteService('restore');
 QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
 DeleteFile('C:\Documents and Settings\Egorik\reader_s.exe');
BC_ImportDeletedList;
 BC_DeleteSvc('restore');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43178.
Сделайте то, что написано тут http://virusinfo.info/showthread.php?t=15927, после этого повторите логи.

[Isabela]

Вот логи, что Вы просили.

Просканила Dr.Web он нашел во всех exe файлах вирус Win32.Virut.56 написал что фаил исцелён, но 4 файла оставил без действия показал только вирус.

После чего я перезегрузилась но всё равно устанавливается соединение через 80й порт службой servises просканировала ещё раз результат тотже

Архив с файлом AVZ я отправила днём,простите что не одновременно с логами.

[Гриша]

AVZ скачайте заново и сделайте логи...

[Isabela]

Сделала как Вы сказали.Вот новые логи.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportQuarantineList;  
BC_Activate;
RebootWindows(true);
end.

Загрузите карантин...

[Isabela]

Пожалуйста вот он.

Добавлено через 22 минуты

Извините,отправила по правилам

[Гриша]

NDIS.sys- Virus.Win32.Protector.a


1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
2. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
3. В командной строке введите sfc /scannow и нажмите "ENTER".

Windows будет проверять целостность системных файлов, понадобится диск с дистрибутивом.

[Isabela]

Спасибо.Вроде бы всё работает.

[Гриша]

Логи сделайте...

[Isabela]

Извините пожалуйста, но я не смогу выкинуть логи,я переустановила систему, так как проверка заменила не все файлы(у меня не было дистрибутива c SP3).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. \avz.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56 )
  2. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )