Прошу помощи в лечении

**-Алексей-** · 02.12.2010, 00:20

Доброго времени суток!
Брат пожаловался на то, что компьютер не загружается. Зависает на черном экране, а при попытке выхода в безопасный режим выпадает синий экран. Решил для начала проверить состояние жесткого диска.
Запустил систему с LiveCD. Просканировал диски, проблем не выявил.
Перезапустил, удалось войти в безопасный режим.
Решил выполнить проверку на вирусы согласно правил. Для начала запустил HiJeckThis. Мне показалась подозрительной строка с Userinit. Запустил на проверку CureIt. Однако, во время работы экран погас и комп не реагировал. После перезагрузки стал разбираться с железом. Оказалось, что на видеокарте кулер не работает. Но решил провести лечение компьютера до конца. Поэтому прилагаю логи к своему сообщению и прошу помощи в лечении.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 02.12.2010, 05:50

- Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по sdvstu и выберите "Turn Run Off". Перезагрузку подтвердите.

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\Drivers\sdvstu.sys','');
 QuarantineFile('C:\WINDOWS\system32\syssec32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ouickl.exe','');
 QuarantineFile('C:\WINDOWS\system32\f06dd448.exe','');
 QuarantineFile('C:\WINDOWS\system32\ehbxqe.exe','');
 QuarantineFile('C:\WINDOWS\system32\6360d008.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mvvpymqq.sys','');
 DeleteService('mvvpymqq');
 QuarantineFile('C:\WINDOWS\TEMP\5520afd5af7c','');
 DeleteService('fa7b4d75c8ed702a');
 DeleteService('eb743624380d1702');
 DeleteService('dc585ed28a7f8dc8');
 DeleteService('d04ee41c9c0a430c');
 QuarantineFile('C:\WINDOWS\TEMP\5520da7556bc','');
 QuarantineFile('C:\WINDOWS\TEMP\5520ae1c5384','');
 DeleteService('cc8470ba0e4f9793');
 DeleteService('b1b537ddc736943d');
 DeleteService('ac8995da3ea337a3');
 QuarantineFile('C:\WINDOWS\TEMP\556043d1a590','');
 QuarantineFile('C:\WINDOWS\TEMP\56008eea7580','');
 DeleteService('a9c85ab8d8f383ff');
 DeleteService('a438b61362a4bf6e');
 DeleteService('a3f509843c2891c6');
 DeleteService('9264c55313bb6994');
 QuarantineFile('C:\WINDOWS\TEMP\5520251ce134','');
 QuarantineFile('C:\WINDOWS\TEMP\5520854d0338','');
 QuarantineFile('C:\WINDOWS\TEMP\5600cd87ce70','');
 QuarantineFile('C:\WINDOWS\TEMP\5560c2a960','');
 QuarantineFile('C:\WINDOWS\TEMP\5520f5a28730','');
 QuarantineFile('C:\WINDOWS\TEMP\5600153187c4','');
 QuarantineFile('C:\WINDOWS\TEMP\5640a04295c','');
 QuarantineFile('C:\WINDOWS\TEMP\5520e782cf3c','');
 QuarantineFile('C:\WINDOWS\TEMP\56002f4fef04','');
 QuarantineFile('C:\WINDOWS\TEMP\55203ac3d4b0','');
 QuarantineFile('C:\WINDOWS\TEMP\552082bac88','');
 DeleteService('7be4a28872a8019a');
 DeleteService('766c5aff545e591f');
 DeleteService('51075a852cb2435c');
 DeleteService('46d9e1af036386f3');
 DeleteService('444cf24ff15b4dfe');
 DeleteService('2aeae007bcc26b97');
 DeleteService('22b5b87511914f23');
 DeleteService('1eea3be5145c0a50');
 DeleteService('1e95bedd4436c807');
 DeleteService('0bd55cac7b49d130');
 DeleteService('0ad22bb8aae42093');
 DeleteService('06b37c5a27ac5891');
 QuarantineFile('c:\program files\lovivkontakte\lovivkontakte.exe','');
 DeleteFile('C:\WINDOWS\TEMP\552082bac88');
 DeleteFile('C:\WINDOWS\TEMP\55203ac3d4b0');
 DeleteFile('C:\WINDOWS\TEMP\56002f4fef04');
 DeleteFile('C:\WINDOWS\TEMP\5520e782cf3c');
 DeleteFile('C:\WINDOWS\TEMP\5640a04295c');
 DeleteFile('C:\WINDOWS\TEMP\5600153187c4');
 DeleteFile('C:\WINDOWS\TEMP\5520f5a28730');
 DeleteFile('C:\WINDOWS\TEMP\560094b15f68');
 DeleteFile('C:\WINDOWS\TEMP\5640d82bada4');
 DeleteFile('C:\WINDOWS\TEMP\5560c2a960');
 DeleteFile('C:\WINDOWS\TEMP\5600cd87ce70');
 DeleteFile('C:\WINDOWS\TEMP\5520854d0338');
 DeleteFile('C:\WINDOWS\TEMP\5520251ce134');
 DeleteFile('C:\WINDOWS\TEMP\56008eea7580');
 DeleteFile('C:\WINDOWS\TEMP\5640f1579a24');
 DeleteFile('C:\WINDOWS\TEMP\5560c53d2930');
 DeleteFile('C:\WINDOWS\TEMP\556043d1a590');
 DeleteFile('C:\WINDOWS\TEMP\55206231ea68');
 DeleteFile('C:\WINDOWS\TEMP\560048cac070');
 DeleteFile('C:\WINDOWS\TEMP\5520ae1c5384');
 DeleteFile('C:\WINDOWS\TEMP\5520da7556bc');
 DeleteFile('C:\WINDOWS\TEMP\5520333130b0');
 DeleteFile('C:\WINDOWS\TEMP\5520afd5af7c');
 DeleteFile('C:\WINDOWS\system32\drivers\mvvpymqq.sys');
 DeleteFile('C:\WINDOWS\system32\6360d008.exe');
 DeleteFile('C:\WINDOWS\system32\ehbxqe.exe');
 DeleteFile('C:\WINDOWS\system32\f06dd448.exe');
 DeleteFile('C:\WINDOWS\system32\ouickl.exe');
 DeleteFile('C:\WINDOWS\system32\syssec32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
 DeleteFile('C:\WINDOWS\system32\Drivers\sdvstu.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**-Алексей-** · 04.12.2010, 11:48

Появилось время продолжить лечение ...

Файл сохранён как 101204_114422_quarantine_4cf9ff66126fe.zip
Размер файла 1407211
MD5 31a639787b64f2f38f91abd5721883c1

P.S. Как дела с логами?

**thyrex** · 04.12.2010, 20:07

Сделайте лог ComboFix

**-Алексей-** · 05.12.2010, 21:37

Проверка прошла успешно. Файл во вложении

**thyrex** · 05.12.2010, 21:51

c:\windows\system32\drivers\kslaprj.sys запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

**-Алексей-** · 07.12.2010, 23:49

Файл сохранён как 101207_234800_virus_4cfe9d80122e0.zip
Размер файла 260903
MD5 aa6eddb623f355df2cc150564ff68f24

**-Алексей-** · 16.12.2010, 00:16

Извините, что нибудь еще необходимо сделать? Вроде видимых проблем не видно ...

**Bratez** · 16.12.2010, 03:26

Файл в карантине чистый.
Если проблем нет, то больше ничего не нужно.

**CyberHelper** · 17.12.2010, 03:26

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 50
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\sdvstu.sys - Rootkit.Win32.Bubnix.bba ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )

Прошу помощи в лечении (заявка № 92791)

Опции темы

Прошу помощи в лечении

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

прошу помощи

Прошу помощи в лечении!

Прошу помощи в подключении звука на видео.

Прошу помощи в лечении Malware

огромный исходящий траффик, прошу помощи в излечении от кучи вирусов

Ваши права в разделе