Показано с 1 по 10 из 10.

Win32.Buzus.enth. Прошу помощи. (заявка № 81988)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    6
    Вес репутации
    51

    Thumbs down Win32.Buzus.enth. Прошу помощи.

    Здравствуйте! Происходит чтото странное. Стоит КАВ 2009. Компьютер работает все нормально но как только подключаюсь к Интренет - Касперский сообщает что найдет вирус Win32.Buzus.enth . Пытается что-то качать какие то файлы - касперский пишет блокировано. Но больше 1 сайта не открывается.

    Логи прилагаю.
    Последний раз редактировалось wizard_vrn; 28.06.2010 в 12:39. Причина: добавлены логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Доброго времени суток
    Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз).
    Отключите восстановление системы
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\tscupgrd.exe','');
     QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe','');
     QuarantineFile('C:\Documents and Settings\NELLY\Application Data\ibnzs.exe','');
     QuarantineFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\mzfkow.sys','');
     DeleteService('gvprevvyypwznmc');
     DeleteService('fnsph');
     DeleteFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\mzfkow.sys');
     DeleteFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\eufxl.sys');
     DeleteFile('C:\Documents and Settings\NELLY\Application Data\ibnzs.exe');
     DeleteFile('C:\WINDOWS\system32\sysnkey32.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); 
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    6
    Вес репутации
    51
    Скрипт Выполнил.
    Прилагаю логи.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('fnsph');
     DeleteFile('C:\DOCUME~1\NELLY\LOCALS~1\Temp\mzfkow.sys');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    BC_DeleteSvc('fnsph'); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip

  6. #5
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    6
    Вес репутации
    51
    Выполнил, прикрепляю.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Плохого больше не видно.
    Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.

  8. #7
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    6
    Вес репутации
    51
    все сделал - не помогло ( ПРОЦЕСС USERINI.EXE висит в количестве 3 шт.
    Разозлился и перставил винды хотя и убил на это половину дня все таки это лучше чем 2 дня без инета


    DefesT, ОГРОМНОЕ СПАСИБО ЗА ПОДДЕРЖУ И БЫСТРЫЕ ОТВЕТЫ )

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Написали бы, что еще есть данная проблема, пробовали другие варианты/рекомендации.
    Что ж, очень жаль.

  10. #9
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    6
    Вес репутации
    51
    К сожалению время поджимало - нужно было работать.
    Спасибо за участие.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 45
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\nelly\application data\ibnzs.exe - Trojan.Win32.Pincav.acnu ( DrWEB: Win32.HLLW.Autoruner.22584, AVAST4: Win32:Malware-gen )
      2. c:\docume~1\nelly\locals~1\temp\mzfkow.sys - Rootkit.Win32.Agent.bhvx ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.381265, AVAST4: Win32:Malware-gen )
      3. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.eya ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4330939 )
      4. c:\windows\system32\sysnkey32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Click.1014, AVAST4: Win32:Malware-gen )
      5. c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.exx ( DrWEB: Trojan.Spambot.6788 )


  • Уважаемый(ая) wizard_vrn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помощи Win32/Spy.Shiz.NCE
      От LehaYasha в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 27.11.2011, 14:32
    2. Trojan.Win32.Ddox.ci - Прошу помощи.
      От Fokker-Omsk в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.06.2011, 00:40
    3. Trojan.Win32.Ddox.ci - Прошу помощи.
      От Vladislav777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.06.2011, 16:48
    4. Win32/Kryptik.SQ - прошу помощи
      От Skippy в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.07.2009, 15:10
    5. Прошу помощи: Win32.Mutant.*
      От Slavva в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01367 seconds with 19 queries