Win32/Kryptik.ANE, Win32/Olmarik

[Бензенсон]

Установлен Eset Nod 32 Antivirus 4, обнаружил 2 "заразы", удалить невозможно, проделал все операции по Вашим рекомендациям. Высылаю логи.

[Aleksandra]

Выполните скрипт в AVZ:

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck.

[Бензенсон]

Спасибо за быстрый ответ.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('C:\DOCUME~1\8DBD~1\LOCALS~1\Temp\c.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('\systemroot\system32\drivers\gasfkyxuyvpnwa.sys','');
 QuarantineFile('\\?\globalroot\systemroot\system32\gasfkysipjktlw.dll','');
 DeleteFile('\\?\globalroot\systemroot\system32\gasfkysipjktlw.dll');
 DeleteFile('\systemroot\system32\drivers\gasfkyxuyvpnwa.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\DOCUME~1\8DBD~1\LOCALS~1\Temp\c.exe');
 DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=55682

3. Пофиксите в HijackThis:

R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: ASAPHook

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Бензенсон]

Выполнено...

[Aleksandra]

Такой лог сделайте http://virusinfo.info/showthread.php?t=40118

[Бензенсон]

прикладываю.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\gasfkyxuyvpnwa.sys');
DeleteFileMask('C:\WINDOWS\system32', gasfky*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:

Код:

qeknx2s3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywbeekbcb"
qeknx2s3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gasfkywbeekbcb"
qeknx2s3.exe -reboot

Запустите этот файл.
Компьютер перезагрузится.

Повторите п.2 Диагностики и лог gmer.

[Бензенсон]

В скрипте ошибка:")" пропущена в позиции 5:45

[Aleksandra]

В скрипте ошибка:")" пропущена в позиции 5:45

Обойдемся без скрипта.

Выполните в Gmer:

Код:

qeknx2s3.exe -del service gasfkywbeekbcb
qeknx2s3.exe -del file "c:\windows\system32\drivers\gasfkyxuyvpnwa.sys"
qeknx2s3.exe -del file "c:\windows\system32\gasfkyhyiexjwx.dll"
qeknx2s3.exe -del file "c:\windows\system32\gasfkyovrownsr.dat"
qeknx2s3.exe -del file "c:\windows\system32\gasfkysipjktlw.dll"
qeknx2s3.exe -del file "c:\windows\system32\gasfkyhosfldym.dat"
qeknx2s3.exe -del file "c:\windows\system32\gasfkyppxopdmt.dll"
qeknx2s3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywbeekbcb"
qeknx2s3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gasfkywbeekbcb"
qeknx2s3.exe -reboot

Повторите лог.

[Бензенсон]

При скане Гмер постоянно вылетает на сканировании \device\00000092, поэтому была снята галка Devices.

[Aleksandra]

Ничего зловредного в логах нет. Что с проблемами?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\gasfkyxuyvpnwa.sys - Packed.Win32.TDSS.z
  2. \\?\globalroot\systemroot\system32\gasfkysipjktlw. dll - Packed.Win32.TDSS.z ( DrWEB: Trojan.Packed.2788 )