AutoRun.FakeAlert.M

[FAERTRANCE]

Вообщем сегодня утром,нод выдал сообщение о данном черве,после чего был автоматически перезагружен ПК.После загрузки вылетело окно "вы используете нелицензионную версию виндовс,отправьте смс на номер ..." ,после чего закрылся експлорер.ехе (насколько я понял просто запустилось окошко со спамом,и заблокировался експлорер.ехе , тк использую только лицензионную продукцию)
Просканил всё что можно НОД'ом и др вебом Cure It! , вроде как удалось всё исправить(был вылечен файл в svhost.exe в папке Program Files/Microsoft Common,и удалены все файлы содержащие данный червь)
Но всё бы хорошо,но ПК при открытии любого приложения/простой папки загружается на 100% и очень сильно "тормозит",что я подозреваю обозначает то,что червь удалён не до конца. Логи AVZ/HijackThis приложил.

[AndreyKa]

Отключите службу восстановления системы (см. Приложение 1 Правил).
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('cru629.dat','');
DeleteFile('cru629.dat');
 QuarantineFile('braviax.exe','');
 DeleteFile('braviax.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteService('GarenaPEngine');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DHDC4B.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\hmonitor.sys','');
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 DeleteFile('c:\windows\system32\vhosts.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DHDC4B.tmp');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[FAERTRANCE]

Карантин вроде переслал... лог приложил

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\SeekappSrch\seekapp.dll');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксте в HijackThis строку:

O20 - AppInit_DLLs: cru629.dat

После перезагрузки сделайте новый лог HijackThis.

[FAERTRANCE]

Готово..

[FAERTRANCE]

ПК стал тормозить всё больше...

[AndreyKa]

Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Отключите службу Dr.Web ® Scanning Engine.

[pig]

Предварительно отключив самозащиту антивируса. Иначе не получится.

[FAERTRANCE]

до сп3 обновился...а Dr.Web ® Scanning Engine удалить не представляется возможным,т.к при удалении самого антивируса(самозащита была выключена),файл дрвтсн32.длл остался и не удаляется(висит в сис. процессах как dwengine.exe , на попытки доступа пишет отказ)

[thyrex]

Пробуйте ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe

[миднайт]

Службу остановите - Мой компьютер - Управление - Службы и приложения - Службы - Dr.Web ® Scanning Engine

Если удаляете антивирусные продукты, есть полезная ссылка -
http://virusinfo.info/showthread.php?t=16646
thyrex, собственно уже дал ссылку

[pig]

Службу остановите - Мой компьютер - Управление - Службы и приложения - Службы - Dr.Web ® Scanning Engine

Она не останавливается. Только тип запуска поменять на "Отключено" и перезагрузиться.

[FAERTRANCE]

Готово,скан движок выключил до сп3 обновился,но лаги так и не пропали

[AndreyKa]

Обновите базы AVZ. Сделайте новые логи и приложите к этой теме.

[FAERTRANCE]

Вот..

[FAERTRANCE]

актуально,лаги снизились на 30-40%...проблемы в пк нету,просканил хдд / проверил сам пк,не перегревается,всё нормально..по прежнему ощущение что червь оставил корни в какихто файлах

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll','');
 QuarantineFile('C:\System Volume Information\_restore{7930C26E-8B1D-45B2-B24D-651A56F25DF5}\RP50\A0045030.dll','');
 QuarantineFile('C:\ACP\acpng.dll','');
 DeleteFile('C:\System Volume Information\_restore{7930C26E-8B1D-45B2-B24D-651A56F25DF5}\RP50\A0045030.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Удалите бунжур http://virusinfo.info/showthread.php...hlight=bonjour
Spyware Doctor - бесполезна, тоже можно удалить.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
зы. Кстати это ваше? C:\Documents and Settings\Admin\Мои документы\STEAM\Powerful GeneratoR.exe

[FAERTRANCE]

Карантин отправил чуть раньше(делал логи),логи прикладываю.
Насчёт зы. да моё,если не ошибаюсь это было в папке со стар стимом в которой все .ехе файлы были изолированы НОДом сразу после распаковки(начало июля) (виндовс после этого не переустанавливал)

[FAERTRANCE]

проблема актуальна..

[миднайт]

Dr.Web - не удали,
Бонжур не удалили(нужен?),
Spyware Doctor тоже оставили,
Восстановление системы включено.
??
Такой лог сделайте http://virusinfo.info/showthread.php?t=40118