Malware Doctor

[MexaHuk]

Похоже, сидит эта зараза.
Диспетчер задач заблокирован, значок Аваста из трея пропал.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{F30B5E7E-CFBB-44fb-A947-226E5A7A4290}');
 QuarantineFile('C:\WINDOWS\system32\advapi32p.exe','');
 DeleteFile('C:\WINDOWS\system32\advapi32p.exe');
 DeleteFile('iifcBTME.dll');
 DeleteFile('lklf32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
BC_DeleteSvc('ntlmssprsvp');
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку: http://virusinfo.info/upload_virus.php?tid=46889

3. Выполните http://virusinfo.info/showthread.php?t=43700

4. Сделайте новый файл исследования системы.

[MexaHuk]

Загрузите файл C:\quarantine.zip, используя ссылку: http://virusinfo.info/upload_virus.php?tid=46889

Пишет ошибку("Данный файл уже был загружен"). Прикладываю здесь, вместе с логом.

[Aleksandra]

1. Выполните в AVPTool скрипт:

Код:

begin
 ExecuteRepair(9);
 ExecuteRepair(13);
 RebootWindows(true);
end.

2. Выполните http://virusinfo.info/showthread.php?t=43700

3. Повторите логи и сообщите что с проблемами.

[MexaHuk]

Диспетчер задач разблокировался.
Аваст пришлось снести (иначе не отключался).
То есть вроде бы все наладилось.
Вот лог. Могу ли я вздохнуть спокойно?

Спасибо!

[Aleksandra]

Скачайте AVZ который у меня в подписи и сделайте полный комплект логов по правилам.

[MexaHuk]

Сделал, вот логи.

[Aleksandra]

1. Выполните скрипт в AVZ:

Код:

begin
 ExecuteRepair(9);
 RebootWindows(true);
end.

2. Пофиксите в HijackThis:

R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: iifcBTME - C:\WINDOWS\

3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

4. Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

[MexaHuk]

Есть.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine; 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\COMRes.dll','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\tnjlv.dll','');
 DeleteFile('C:\WINDOWS\system32\tnjlv.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('kipvpuks');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46889

3. Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service kipvpuks
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@DisplayName"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@Type"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@Start"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@ErrorControl"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@ImagePath"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@ObjectName"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks\parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kipvpuks\parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks\parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kipvpuks\parameters@ServiceDll"
gmer -reboot

[MexaHuk]

Сделано.

[Aleksandra]

Ничего зловредного в логах нет.

Добавлено через 38 секунд

Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

[MexaHuk]

Ну вроде и проявления пропали.

Файл:
090606_161131_virusinfo_files_PENTIUM_4a2a5cf32274 b.zip
Размер файла 21096717
MD5 c0f7c93d46b5da39634b020a0c49c2fe

Спасибо!

[Aleksandra]

Ответ http://virusinfo.info/showpost.php?p...postcount=1401

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены