Вирусы

[leomuz]

Посмотрите пожалуйста.

[Ingener]

1) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\jjdrive32.exe');
 QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
 QuarantineFile('usbmngr.exe','');
 QuarantineFile('usb_drv.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-8106801331-6251790400-382066848-9338\wmfcgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('c:\windows\jjdrive32.exe','');
 DeleteFile('C:\WINDOWS\usbmngr.exe');
 DeleteFile('C:\WINDOWS\usb_drv.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-8106801331-6251790400-382066848-9338\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('c:\windows\jjdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal  Bus device');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows USB Serivce');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N32P');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новые логи.

[leomuz]

выполнил

[Ingener]

1) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Выполните этот скрипт в AVZ: http://df.ru/~kad/ScanVuln.txt
После его выполнения в подпапке log паки с AVZ будет сформирован отчёт avz_log.txt - приложите его к своему следующему сообщению.
4) Сделайте новый лог virusinfo_syscheck.zip.

[leomuz]

При загрузке карантина пишет, что такой файл уже есть, я переименовал его, все равно пишет тоже самое--это правильно? В остальном все выполнил.

[Ingener]

В логе virusinfo_syscheck.zip чисто.

Устрините все эти уязвимости:

Код:

Поиск критических уязвимостей
Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS09-028.mspx
Установите Internet Explorer 8
http://www.microsoft.com/rus/windows/internet-explorer/
Уязвимость в элементе ActiveX делает возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS09-055.mspx
Уязвимости в Adobe Flash Player для Internet Explorer
http://get.adobe.com/flashplayer
Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
http://get.adobe.com/flashplayer/otherversions
Установлен Adobe Acrobat Reader версии 8.1.2. Необходимо обновить его до версии 8.1.7
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

После этого сделайте новый отчёт avz_log.txt и приложите его к своему следующему сообщению.

[leomuz]

Спасибо, по поводу обновления системы не получится т.к. компьютер соседский пусть сам решает.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.Buzus.cqit ( DrWEB: Trojan.Spambot.6388, BitDefender: Trojan.Generic.2810521, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen )
  2. c:\recycler\s-1-5-21-8106801331-6251790400-382066848-9338\wmfcgr.exe - Net-Worm.Win32.Kolab.erh ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2814970, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Patched-JZ [Trj] )
  3. c:\windows\jjdrive32.exe - Net-Worm.Win32.Kolab.feo ( DrWEB: Trojan.Inject.3914, BitDefender: Worm.Generic.103227, AVAST4: Win32:Malware-gen )
  4. c:\windows\system32\wshost32.exe - Trojan.Win32.Buzus.conk ( DrWEB: Trojan.DownLoad.41920, BitDefender: MemScan:Adware.BrowseIT.A, AVAST4: Win32:Rimecud-E [Wrm] )