Помогите побороть вирус

**Crazy-Cat** · 29.05.2010, 12:49

Помогите побороть вирус, постоянно появляется файл с папке c:\wutemp\srvsxc.exe
В интернете нашёл информацию что якобы этот троян попал на компьютер подобрав пароль к radmin. Прошу вашей помощи, компьютер находится удалённо поэтому отключить компьютер от сети нет возможности, Nod32 сканирование в реальном времени отключил при создании логов.
Проверка Антивирусами не чего не находит, но папка с файлом вновь создаётся при удалении.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 29.05.2010, 12:59

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

F3 - REG:win.ini: load=

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\win\sdman.exe','');
 QuarantineFile('c:\infolux\s7_surok\s7.exe','');
 QuarantineFile('c:\win\system32\cfgsrvc.exe','');
 QuarantineFile('c:\wutemp\srvsxc.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**Crazy-Cat** · 29.05.2010, 13:21

вы пишете в логе
QuarantineFile('c:\win\sdman.exe','');
QuarantineFile('c:\infolux\s7_surok\s7.exe','');
эти два точно не вирусы, первый не помню за что отвечает, знаю что ставиться с программой, второй это программа для отработки так сказать рабочих файлов. Без неё работать не смогут.

**polword** · 29.05.2010, 13:34

мы их только закарантиним, а не удаляем

Добавлено через 9 минут

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(13);
 RebootWindows(true);
end.

- Сделайте повторный лог hijackthis.log
- Сделайте лог MBAM

**Crazy-Cat** · 29.05.2010, 14:20

Вот вложения
C:\distr\_На все компы\Remote Administrator\radmin_sborka\urc .exe (PWS.LdPinch) это сборка Radmina, но она не устанавливалась на этом компьютере.

**polword** · 29.05.2010, 14:54

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\win\system32\mscolsrv.exe','');
 QuarantineFile('c:\win\system32\svchsot.exe','');
 QuarantineFile('c:\win\system32\server.dll','');
 QuarantineFile('c:\win\system32\syshid.exe','');
 DeleteFile('c:\win\system32\svchsot.exe');
 DeleteFile('c:\win\system32\mscolsrv.exe');
 DeleteFile('c:\win\system32\server.dll');
 DeleteFile('c:\win\system32\syshid.exe');
 DeleteFile('c:\wutemp\srvsxc.exe');
 DeleteFileMask('c:\wutemp', '*.*', true);
 DeleteDirectory('c:\wutemp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Services\MSCoolServ','ImagePath');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log