-
Junior Member
- Вес репутации
- 54
Worm.Win32.AutoRun.ews
И снова сдрасте =) я тут частый гость =)
В названии темы все отражено, единственное что еще могу добавить это то что при попытке загрузки в безопасном режиме кидает в BSoD 50 то же самое происходит при попытке установить любой антивирус, при попытке зайти на какойнить антивирусный ресурс браузер закрываеться.
Получился вот такой скрипт, я бы выполнил этот скрипт, но без консультации профи как-то неохото мало-ли напутал чего.
PHP код:
begin
BC_DeleteFile('C:\sdxj.exe');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0002218.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0002461.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0003501.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004521.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004588.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004611.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004644.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0006653.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0006719.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0016803.exe');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0016827.pif');
ExecuteSysClean;
RebootWindows(true);
end.
p.s. Я тут так часто, потому что помогаю всем друзьям и знакомым, которые то-ли слишком глупы что бы прочитать и все сделать самим, то-ли очень ленивы =)
Заранее спс за помощ.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
0)Здравствуйте
1)Обновите базы AVZ.
2)Отключите восстановление системы
3)Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\all users\application data\admin\svchost.exe');
QuarantineFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0002218.com','');
QuarantineFile('C:\sdxj.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ejsmqj.sys','');
QuarantineFile('c:\documents and settings\all users\application data\admin\svchost.exe','');
QuarantineFile('c:\windows\system32\acs.exe','');
SetServiceStart('asc3360pr', 4);
DeleteService('asc3360pr');
DeleteFile('c:\documents and settings\all users\application data\admin\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ejsmqj.sys');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\sdxj.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','avpa');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Lan_service');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
4)Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
5)В логах виден Sality. Пролечитесь от файловый вирусов - http://virusinfo.info/showthread.php?t=15927
6)После всего этого сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 54
Карантин залил, логи будут попозже лечимся =)
Результат загрузкиФайл сохранён как 091204_150755_2009-12-04_4b18fb9bd88b3.zip
Размер файла 7250903
MD5 091c97d89bd626a8c7f12a915afc6cf6
Файл закачан, спасибо!
-
Junior Member
- Вес репутации
- 54
Вроде пролечились
Вот новые логи
-
пролечитесь http://virusinfo.info/showthread.php?t=15927 , После всего этого сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 54
последние логи сделаны после лечения
лечил с помощью Dr.Web LiveCD
Тоесть мне надо скачать какойто другой антивирь и им еще пролечить я правельно вас понял?
-
Тоесть мне надо скачать какойто другой антивирь и им еще пролечить я правельно вас понял?
Это не антивирус, а лечещая утилита, записывать обязательно на другом ПК.
-
-
Junior Member
- Вес репутации
- 54
записывал на другом компе на пораженном прогонял в сейф мод
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('asc3360pr');
DeleteFile('C:\WINDOWS\system32\drivers\ejsmqj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
делайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме
-
-
Junior Member
- Вес репутации
- 54
-
Чисто.
Установите SP3 (может потребоваться активация) + все новые заплатки
-
-
Junior Member
- Вес репутации
- 54
странно при попытке зайти на какой нибудь антивирусный форум браузер закрывается даже если в гугле набираеш ваш ресур и как только гугл показывает найденые варианты браузер сразу закрывается, что это может быть?
-
-
-
Junior Member
- Вес репутации
- 54
Нет не любой а только ИЕ, но эта проблема уже решена форматированием всех дисков т.к. ничего особо важного и нужного на компе не было, тему можно закрывать.
Огромное спасибо вашему ресурсу за оказаную помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 71
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\admin\svchost.exe - Trojan.Win32.Inject.qzh ( DrWEB: Trojan.KeyLogger.3614, BitDefender: Trojan.Generic.1622243, AVAST4: Win32:Trojan-gen )
- c:\program files\messenger\msmsgs.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\microsoft office\office10\osa.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\msn toolbar suite\msntbup.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\toshiba\toscdspd\toscdspd.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\toshiba\touch and launch\padexe.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\toshiba\windows utilities\hotkey.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\toshiba\программа toshiba zooming utility\smoothview.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\program files\электрик\cupro.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\sdxj.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp24\a0002218.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp24\a0002461.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp24\a0003501.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004521.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004588.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004611.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004644.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0006653.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0006719.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0016803.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0016827.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
- c:\windows\system32\avpo.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )
- c:\windows\system32\tpsmain.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
-