Windows Security Alert

[didar]

Где-то захватил вирус Windows Security Alert. по началу поверил, но условии активаций заставили меня улыбнутся )) 50 руб за активацию ))))) вот нашел такую тему у вас и выполнил скрипт, знаю скрипты написанные другим не стоит себе грузить, но пришлось, так как рабочий стол вообще не грузился. Вроде автозапуск вируса исчезала, но кажется некоторые файлы остались. Вот логи, проверьте плз

блин, не могу загрузить логи ((( ошибку выдает. думаю это из-за загруженности нэта. Попробую чуть позже загрузить логи

[light59]

Ждём логи.

[didar]

вот логи

[gjf]

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe

- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 StopService('NuTCRACKERService');
 StopService('bavjhbpz');
 StopService('brdlfpnz');
 StopService('crwouukv');
 StopService('eiwszcfp');
 StopService('hjhsojpu');
 StopService('hryrejuu');
 StopService('hsxgngba');
 StopService('ibsvbgcw');
 StopService('jxudmnmp');
 StopService('lrdtrfue');
 StopService('nzdctpua');
 StopService('oqmhmvjh');
 StopService('piweqtpi');
 StopService('pjzdpren');
 StopService('pkueazxr');
 StopService('psshpujr');
 StopService('qetimsdz');
 StopService('yepokszb');
 StopService('yvpqucmc');
 StopService('yzdihykf');
 StopService('yzhsegnc');
 QuarantineFile('c:\MEMORY\S-v-6-2009\PeAcE.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4656824933-5437304683-719601584-8375\dllrun32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\yzhsegnc.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\yzdihykf.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\yvpqucmc.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\yepokszb.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\qetimsdz.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\psshpujr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\pkueazxr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\pjzdpren.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\piweqtpi.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\oqmhmvjh.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\nzdctpua.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\lrdtrfue.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\jxudmnmp.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ibsvbgcw.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\hsxgngba.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\hryrejuu.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\hjhsojpu.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\eiwszcfp.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\crwouukv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\brdlfpnz.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\bavjhbpz.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\JXG25.tmp','');
 QuarantineFile('c:\windows\system32\nutsrv4.exe','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\JXG25.tmp');
 DeleteFile('C:\WINDOWS\System32\Drivers\bavjhbpz.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\brdlfpnz.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\crwouukv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\eiwszcfp.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\hjhsojpu.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\hryrejuu.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\hsxgngba.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ibsvbgcw.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\jxudmnmp.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\lrdtrfue.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\nzdctpua.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\oqmhmvjh.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\piweqtpi.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\pjzdpren.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\pkueazxr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\psshpujr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\qetimsdz.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\yepokszb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\yvpqucmc.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\yzdihykf.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\yzhsegnc.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-4656824933-5437304683-719601584-8375\dllrun32.exe');
 DeleteFile('c:\MEMORY\S-v-6-2009\PeAcE.exe');
 DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('bavjhbpz');
 BC_DeleteSvc('brdlfpnz');
 BC_DeleteSvc('crwouukv');
 BC_DeleteSvc('eiwszcfp');
 BC_DeleteSvc('hjhsojpu');
 BC_DeleteSvc('hryrejuu');
 BC_DeleteSvc('hsxgngba');
 BC_DeleteSvc('ibsvbgcw');
 BC_DeleteSvc('jxudmnmp');
 BC_DeleteSvc('lrdtrfue');
 BC_DeleteSvc('nzdctpua');
 BC_DeleteSvc('oqmhmvjh');
 BC_DeleteSvc('piweqtpi');
 BC_DeleteSvc('pjzdpren');
 BC_DeleteSvc('pkueazxr');
 BC_DeleteSvc('psshpujr');
 BC_DeleteSvc('qetimsdz');
 BC_DeleteSvc('yepokszb');
 BC_DeleteSvc('yvpqucmc');
 BC_DeleteSvc('yzhsegnc');
 BC_DeleteSvc('yzdihykf');
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Сделайте лог с помощью GMER.
gmer.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[didar]

вот повторные логи. Gmer не смог скачать, так как страница не открывалась

[Bratez]

Больше ничего плохого не видно.
Что с проблемами?

[didar]

Постоянно выскакивет этот вирус ! И все приходится делать с начала !

помогите плз

[gjf]

Качайте GMER отсюда и делайте лог. На странице закачик выберите Click Here возле любого удобного для Вас файлообменника. Сам GMER извлеките из скачанного zip-архива.

[didar]

вот новы логи. страница для загрузки Gmer так и не открывается. Можете ее куда нибудь в другое место залить?

Этот вирус появляется снова и снова... ! Сидишь, работаешь и бум вирус появился ! Может она где-то уселась?

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('I:\ewqij.bat','');
 QuarantineFile('explorer.exe,C:\RECYCLER\S-1-5-21-1978602082-0425371931-141805708-2407\sysdate.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1978602082-0425371931-141805708-2407\sysdate.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\GSB2CF.tmp','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1978602082-0425371931-141805708-2407\sysdate.exe');
 DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-1978602082-0425371931-141805708-2407\sysdate.exe');
 DeleteFile('I:\ewqij.bat');
 DeleteFile('I:\autorun.inf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
SetAVZGuardStatus(True);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118.

Сделайте новые логи.

[gjf]

Выше я поправил своё сообщение - теперь там ссылка на сайт, откуда Вы сможете скачать архив с утилитой GMER.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены