Вирус который не поддается Антивирусам

Printable View

20.11.2013, 09:08
xan08

Вложений: 3

Вирус который не поддается Антивирусам

ПК находится в доменной сети, когда и как появился вирус на ПК неизвестно.

Вирус делает скрытыми файлы .exe приписывая им вначале "zw" (пр. zwAVZ.exe), а вместо оригинальных .exe делает .lnk со следующей директорией %windir%\system32\RunDll32.exe shell32.dll,ShellExec_RunDLL ".\HijackThis.exe" (так выглядит путь к HijackThis.exe).

На момент появления вируса стоял сетевой Dr.Web ver. 6.0 с постоянно обновляющимися базами. В устранении проблем участвовали cureIT и AVZ, но увы...находят только последствия, а саму причину не могут.

Все логи сделаны, после удаления сетевого Dr.Web.
20.11.2013, 09:11
Info_bot

Уважаемый(ая) [B]xan08[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.11.2013, 10:22
mrak74

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][B]Gmer[/B][/URL]
20.11.2013, 11:42
xan08

Вложений: 1

Лог Gmer
20.11.2013, 12:42
mrak74

Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится vv46ngvo.exe случайное имя утилиты (gmer)
[CODE]
vv46ngvo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\khqxskaac"
vv46ngvo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\khqxskaac"
vv46ngvo.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
20.11.2013, 14:09
xan08

Вложений: 1

После применения bat-ника
20.11.2013, 14:20
mrak74

[URL="http://virusinfo.info/showthread.php?t=16646"][I]Инструкции и утилиты для полного удаления остатков антивирусных продуктов[/I][/URL] для удаления остатков DrWEB.

Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070&p=457118#post457118"][B]MBAM[/B][/URL] с подключенными флешками которыми пользовались на данном компьютере.
20.11.2013, 16:47
xan08

Вложений: 2

съемные носители подключить невозможно, т.к. это люди изредка приносящие на своих флешках документы на печать. Человек сидящий за этим ПК внешние носители не использует.

На данный момент замечено, что вирус стал создавать .scr файлы с именами "Порно, новая папка, ХХХ и др.", а также после лечения помимо .lnk стали создаваться папки .exe (смотреть скрин). Зеленым выделены оригинальные экзешники с припиской zw.
20.11.2013, 21:05
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
21.11.2013, 05:55
xan08

Вложений: 1

Ребят мб эта бяка вовсе не на системном диске живет?

Возможно самое главное забыл сказать...cureIT идентифицирует зараженные файлы, как Trojan.Packed 22267
25.11.2013, 05:22
xan08

Проблема все еще существует...отправил в Dr.Web заявку в четверг, пока молчат.
25.11.2013, 23:07
Techno

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.
[code]
KillAll::

File::

Driver::

NetSvc::
khqxskaac

Folder::

Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Установите:
[url]http://technet.microsoft.com/ru-ru/security/bulletin/ms08-067[/url]
[url]http://technet.microsoft.com/ru-ru/security/bulletin/ms08-068[/url]
[url]http://technet.microsoft.com/ru-ru/security/bulletin/ms09-001[/url]

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]
27.11.2013, 11:19
xan08

Вложений: 1

Отчет с CFScript.txt
27.11.2013, 16:04
Techno

В реестре нужно удалить разделы:
[CODE]HKLM\SYSTEM\CurrentControlSet\Services\khqxskaac
HKLM\SYSTEM\ControlSet002\Services\khqxskaac[/CODE]

Обновления поставили?
28.11.2013, 10:55
xan08

Здравствуйте! Обновления поставил, реестр почистил. Сейчас удалю все "левые" файлы и буду наблюдать.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Решение не помогло. khqxskaac в реестре теперь нет, а файлы по прежнему создаются.
28.11.2013, 11:39
Techno

Выполните в АВЗ скрипт [URL="http://safezone.cc/threads/kak-polnostju-ustranit-problemu-svjazannuju-s-nastrojkami-avtomaticheskogo-obnovlenija.9188/"]отсюда[/URL]

- Повторите логи [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B].

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Эти bat-файлы Ваши?
[CODE]acad_settings_archiv.bat
copy_personal_book_excel.bat
mk_work_dir.bat[/CODE]
28.11.2013, 13:16
xan08

Да. Наши.
29.11.2013, 21:07
mrak74

[quote="Techno;1065324"]- Повторите логи virusinfo_syscheck.zip и hijackthis.log.[/quote]
Повторные логи забыли приложить к теме.