Junior Member
Вес репутации
58
Помогите с вирусякой
Проблема заключается в том, что на флешках с зараженного компьютера распоространяется вирус с автораном, кроме того, постоянно работает флоппи привод, как оказалось, если в нем не стоит дискеты, то он постоянно прокручивает его, если дискету вставить, то вирус записывает свое тельце и авторан на нее и флоппи успокаивается. Кроме того, в безопасный режим не загружается, пришлось скачать программу восстанавливающую ключи в реестре, только после ее использования Безопасный режим стал доступен, но на один раз, после одной нормальной загрузки в безопасный уже снова не загрузиться и необходимо снова восстанавливать соответствующие ключи реестра.
Востановление системы включено и вопреки правилам отключить его я не смог ибо вкладки в свойствах компьютера НЕТ - постарался вирус.
Symantic на другом компьютере определяет этот вирус как W32.Spybot.Worm.
Вот логи
Вложения
Последний раз редактировалось Badabum; 19.01.2010 в 09:21 .
Причина: Обновил файл virusinfo_syscheck.zip
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: Info cache - {296AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Intel\baiduc.dll (file missing)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe','');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\mQbol.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelpxbgoy1.exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2008.exe','');
QuarantineFile('C:\WINDOWS\Remotrabc.exe','');
QuarantineFile('C:\WINDOWS\system32\gvlye.exe','');
QuarantineFile('C:\WINDOWS\system32\XFXNBQUV8C\H001.exe','');
QuarantineFile('C:\WINDOWS\System32\NeSrv.exe','');
QuarantineFile('C:\WINDOWS\system32\34PT2NR69Q\P001.exe','');
QuarantineFile('C:\WINDOWS\Ativs.exe','');
QuarantineFile('C:\WINDOWS\Ati2ess.exe','');
QuarantineFile('C:\WINDOWS\system32\ooqks.exe','');
QuarantineFile('C:\WINDOWS\Fonts\20C2058C.EXE','');
QuarantineFile('C:\WINDOWS\system32\dltsrunsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\bvjbb.map','');
QuarantineFile('C:\WINDOWS\Intel\baiduc.dll','');
QuarantineFile('C:\WINDOWS\system32\urlqp.bmp','');
QuarantineFile('C:\WINDOWS\System32\hhhftk.dll','');
DeleteFile('C:\WINDOWS\System32\hhhftk.dll');
DeleteFile('C:\WINDOWS\Intel\baiduc.dll');
DeleteFile('C:\WINDOWS\Fonts\20C2058C.EXE');
DeleteFile('C:\WINDOWS\system32\ooqks.exe');
DeleteFile('C:\WINDOWS\Ati2ess.exe');
DeleteFile('C:\WINDOWS\Ativs.exe');
DeleteFile('C:\WINDOWS\system32\34PT2NR69Q\P001.exe');
DeleteFile('C:\WINDOWS\System32\NeSrv.exe');
DeleteFile('C:\WINDOWS\system32\XFXNBQUV8C\H001.exe');
DeleteFile('C:\WINDOWS\system32\gvlye.exe');
DeleteFile('C:\WINDOWS\Remotrabc.exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2008.exe');
DeleteFile('C:\WINDOWS\system32\WinHelpxbgoy1.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\mQbol.exe');
DeleteFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('WinHelpxbgoy1');
BC_DeleteSvc('Windows_rejoice2008');
BC_DeleteSvc('Windows Inster');
BC_DeleteSvc('VMnetDHCP');
BC_DeleteSvc('sddsdaqewe DDOS Service');
BC_DeleteSvc('NesSrv');
BC_DeleteSvc('DescriptionHero2');
BC_DeleteSvc('Ativs');
BC_DeleteSvc('Ati2evss');
BC_DeleteSvc('asd');
BC_DeleteSvc('1E6FC624');
BC_DeleteSvcReg('ajnnnp');
BC_Activate;
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67797 ).
Сделайте новые логи.
Сделайте дополнительно лог gmer .
I am not young enough to know everything...
Junior Member
Вес репутации
58
В реестре прописал куст по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore], после этого появилась вкладка Восстановление системы, потом с помощью AVZ разблокировал и отключил это самое восстановление системы.
Флоппи диск так и продолжает безустанно работать без дискеты. Еще Internet Explorer не запускается.
Карантин закачал:
Файл сохранён как 100120_153606_Quarantine_4b56f8b69e9e4.zip
Размер файла 121292
MD5 3c0213f1ee4ec384de6dcd38dde47857
Новые логи
Пофиксите в HijackThis:
Код:
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\bvjbb.map','');
QuarantineFile('C:\WINDOWS\system32\urlqp.bmp','');
QuarantineFile('C:\WINDOWS\system32\rlngdca.dll','');
QuarantineFile('c:\windows\system32\ssdpsrv.dll','');
QuarantineFile('c:\windows\system32\appmgmts.dll','');
DeleteFile('C:\WINDOWS\system32\urlqp.bmp');
DeleteFile('C:\WINDOWS\system32\bvjbb.map');
DeleteFile('C:\WINDOWS\system32\dltsrunsrv.dll');
DeleteFile('C:\WINDOWS\system32\rlngdca.dll');
BC_ImportALL;
ExecuteSysClean;
RegKeyStrParamWrite( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ersvc\Parameters', 'ServiceDll', '%SystemRoot%\System32\ersvc.dll');
BC_DeleteSvcReg('DltsSrv');
BC_DeleteSvcReg('ias');
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\asnxncrv');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи п.2 и 3 раздела Диагностика + лог gmer.
I am not young enough to know everything...
Junior Member
Вес репутации
58
IExplorer запустился, в остальном проблемы остались. На счет лога gmer тут все плохо, ибо он проверяет систему больше 5 часов, на работе не успеваю, оставил на ночь завтра с утра выложу полную версию, сейчас версия после быстрой проверки
Последний раз редактировалось Badabum; 21.01.2010 в 15:16 .
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
QuarantineFile('C:\WINDOWS\System32\ssdpsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\mspmsnsv.dll','');
QuarantineFile('C:\WINDOWS\system32\seserunsrv.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67797 ).
I am not young enough to know everything...
Junior Member
Вес репутации
58
Файл сохранён как 100122_092124_2010-01-22_4b5943e4a2d63.zip
Размер файла 121689
MD5 75ad82892d8926673711b0b9e96d2f8a
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\seserunsrv.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
58
Проблемы все остались
Новые логи
Вложения
Что-то у вас в каждых логах что-нибудь новенькое...
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\appmgmts.dll','');
QuarantineFile('C:\WINDOWS\TEMP\wowsub.sys','');
DeleteFile('C:\WINDOWS\TEMP\wowsub.sys');
DeleteFileMask('C:\WINDOWS\TEMP', '*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(10);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
58
Я решил диск форматнуть, собственно уже новая система стоит, осталось только сопутсвующие проги поставить, просто комп на работе очень нужен. Спасибо за потраченное время.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\dltsrunsrv.dll - Trojan-Downloader.Win32.Agent.czkz ( BitDefender: DeepScan:Generic.Peed.86A89DBB ) c:\windows\system32\seserunsrv.dll - Trojan-Downloader.Win32.Agent.czlq ( DrWEB: Trojan.DownLoad1.32262, BitDefender: DeepScan:Generic.Peed.E3505DF2, AVAST4: Win32:Rootkit-gen [Rtk] )