Вирус

Printable View

13.12.2011, 19:54
karyon

Вложений: 1

Вирус

Не могу создать все логи, даже в защищенном режиме вирус блокирует программу.
При попытке выполнения каких-то действий Hijack или avz вирус снимает программу и держит ее запускной файл постоянно открытым, т.е второй раз уже запустить не удается.
Удалось только запустить AVZ в режиме сбора информации.
13.12.2011, 19:55
Info_bot

Уважаемый(ая) [B]karyon[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.12.2011, 20:45
Nikkollo

Отключите Восстановление системы.

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\3847325768:3078073882.exe:$DATA','');
QuarantineFile('c:\windows\3847325768:3078073882.exe','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\cbzvl.exe','');
DeleteFile('C:\Documents and Settings\Администратор\cbzvl.exe');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
DeleteFile('c:\windows\3847325768:3078073882.exe');
DeleteFile('c:\windows\3847325768:3078073882.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
14.12.2011, 13:37
karyon

Вложений: 2

Спасибо за помощь.
Hijack все еще не могу выполнить, остальное сделал
14.12.2011, 14:00
thyrex

Лог TDSSkiller сделайте
14.12.2011, 14:15
Nikkollo

Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\pc\cbzvl.exe','');
QuarantineFile('C:\WINDOWS\Temp\svchost.exe','');
QuarantineFile('C:\WINDOWS\Temp\Q0f.exe','');
QuarantineFile('C:\WINDOWS\Temp\Q0c.exe','');
QuarantineFile('C:\Documents and Settings\pc\Рабочий стол\Новая папка Игра\Zumas_Revenge_setup.exe','');
QuarantineFile('C:\Documents and Settings\pc\Application Data\9.tmp','');
QuarantineFile('C:\Documents and Settings\pc\Application Data\14.tmp','');
QuarantineFile('C:\Documents and Settings\pc\Local Settings\Application Data\488851e5\X','');
DeleteFile('C:\Documents and Settings\pc\Local Settings\Application Data\488851e5\X');
DeleteFile('C:\Documents and Settings\pc\Application Data\14.tmp');
DeleteFile('C:\Documents and Settings\pc\Application Data\9.tmp');
DeleteFile('C:\WINDOWS\Temp\Q0c.exe');
DeleteFile('C:\WINDOWS\Temp\Q0f.exe');
DeleteFile('C:\WINDOWS\Temp\svchost.exe');
DeleteFile('C:\Documents and Settings\pc\cbzvl.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('CSU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
14.12.2011, 15:20
karyon

Вложений: 3

Вроде бы все вместе помогло.
Спасибо.
14.12.2011, 16:17
Nikkollo

[QUOTE=Nikkollo;849614]После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
[/QUOTE]

Это тоже хотелось бы.
15.12.2011, 16:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\cbzvl.exe - [B]P2P-Worm.Win32.Palevo.cqwl[/B] ( DrWEB: Win32.HLLW.Autoruner.44048, BitDefender: Gen:Variant.Kazy.22179, AVAST4: Win32:Morphex [Cryp] )[*] c:\\windows\\system32\\sshnas21.dll - [B]Trojan.Win32.FraudPack.cvab[/B] ( DrWEB: Trojan.Inject.46035, BitDefender: Gen:Variant.TDss.38, NOD32: Win32/TrojanDownloader.FakeAlert.BKW trojan, AVAST4: Win32:Renos-AUL [Trj] )[*] c:\\windows\\3847325768:3078073882.exe - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[*] c:\\windows\\3847325768:3078073882.exe:$data - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[/LIST][/LIST]