-
Junior Member
- Вес репутации
- 51
Win32.Buzus.enth. Прошу помощи.
Здравствуйте! Происходит чтото странное. Стоит КАВ 2009. Компьютер работает все нормально но как только подключаюсь к Интренет - Касперский сообщает что найдет вирус Win32.Buzus.enth . Пытается что-то качать какие то файлы - касперский пишет блокировано. Но больше 1 сайта не открывается.
Логи прилагаю.
Последний раз редактировалось wizard_vrn; 28.06.2010 в 12:39.
Причина: добавлены логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз).
Отключите восстановление системы
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\tscupgrd.exe','');
QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe','');
QuarantineFile('C:\Documents and Settings\NELLY\Application Data\ibnzs.exe','');
QuarantineFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\mzfkow.sys','');
DeleteService('gvprevvyypwznmc');
DeleteService('fnsph');
DeleteFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\mzfkow.sys');
DeleteFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\eufxl.sys');
DeleteFile('C:\Documents and Settings\NELLY\Application Data\ibnzs.exe');
DeleteFile('C:\WINDOWS\system32\sysnkey32.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Скрипт Выполнил.
Прилагаю логи.
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('fnsph');
DeleteFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\mzfkow.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_DeleteSvc('fnsph');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
Плохого больше не видно.
Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.
-
-
Junior Member
- Вес репутации
- 51
-
Написали бы, что еще есть данная проблема, пробовали другие варианты/рекомендации.
Что ж, очень жаль.
-
-
Junior Member
- Вес репутации
- 51
К сожалению время поджимало - нужно было работать.
Спасибо за участие.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 45
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\nelly\application data\ibnzs.exe - Trojan.Win32.Pincav.acnu ( DrWEB: Win32.HLLW.Autoruner.22584, AVAST4: Win32:Malware-gen )
- c:\docume~1\nelly\locals~1\temp\mzfkow.sys - Rootkit.Win32.Agent.bhvx ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.381265, AVAST4: Win32:Malware-gen )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.eya ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4330939 )
- c:\windows\system32\sysnkey32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Click.1014, AVAST4: Win32:Malware-gen )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.exx ( DrWEB: Trojan.Spambot.6788 )
-