Поймал WinReanimator. Все как обычно: красный крестик в трее, программа, якобы находящая вирусы. Прочитал все темы, касающиеся удаления этого гада, но может для моего случая нужен немного другой скрипт. Посмотрите пожалуйста мои логи.
Printable View
Поймал WinReanimator. Все как обычно: красный крестик в трее, программа, якобы находящая вирусы. Прочитал все темы, касающиеся удаления этого гада, но может для моего случая нужен немного другой скрипт. Посмотрите пожалуйста мои логи.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('C:\Program Files\WinReanimator\install.exe','');
QuarantineFile('C:\Program Files\WinReanimator\WinReanimator.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
QuarantineFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('C:\Documents and Settings\JO.IO\Local Settings\Temporary Internet Files\Content.IE5\EQEH5HK2\Installer2[1].exe');
DeleteFile('C:\Documents and Settings\JO.IO\Local Settings\Temp\uninst.exe');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Program Files\WinReanimator\WinReanimator.exe');
DeleteFile('C:\Program Files\WinReanimator\install.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил по ссылке [url]http://virusinfo.info/upload_virus.php?tid=20975[/url]
Повторите логи.
Выполнил вышеуказанный скрипт, после перезагрузки winreanimator исчез, а красный крест и процесс braviax.exe остался. Карантинный файл выслал. При проверке новым CureIt обнаружился троян в файле braviax.exe и при лечении компьютер перезагрузился с BSOD с ошибкой в памяти. Продолжать после этого проверку CureIt не стал. Логи прилагаю.
Карантин загрузите!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\braviax.exe');
DeleteFile('c:\windows\braviax.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\cru629.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\JO.IO\Application Data\Opera\Opera\profile\cache4\opr000AD.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.Повторите логи.
[LEFT]Карантин отправил повторно, название файла
080409_075037_virus_47fcbb9dedbc7.zip [/LEFT]
Карантин:
install.exe,winivstr.exe-[B]not-a-virus:FraudTool.Win32.Reanimator.a[/B]
WinReanimator.exe-[B]not-a-virus:FraudTool.Win32.Reanimator.b[/B]
cru629.dat-[B]Backdoor.Win32.Small.cbo[/B]
univrs32.dat-[B]not-a-virus:AdWare.Win32.Agent.zo[/B]
braviax.exe-[B]Heur.Trojan.Generic [/B]
WINREANIMATOR.DLL-[B]not-a-virus:FraudTool.Win32.Reanimator.d[/B]
[SIZE=2]Я обнаружил интересный раздел в реестре:[/SIZE]
[SIZE=2][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\braviax][/SIZE]
[SIZE=2]"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"[/SIZE]
[SIZE=2]"item"="braviax"[/SIZE]
[SIZE=2]"hkey"="HKLM"[/SIZE]
[SIZE=2]"command"="braviax.exe"[/SIZE]
[SIZE=2]"inimapping"="0"[/SIZE]
[SIZE=2]Получается, при загрузке системы троян сам прописывается в автозагрузку. Вручную почистил реестр, удалил файлы скриптом, логи привожу. AVZ выдает такое сообщение: "Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "cru629.dat"" Файла самого нет, как можно убрать записи в реестре, точнее какие?[/SIZE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('cru629.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить [/URL]если останется:
[CODE]O20 - AppInit_DLLs: cru629.dat[/CODE]
Повторите лог virusinfo_syscheck.
AVZ сама зачистит следы в реестре.
После выполнения скрипта и перезагрузки запустил HijackThis, но не нашел этой строчки:
O20 - AppInit_DLLs: cru629.dat
Новый virusinfo_syscheck.zip прилагаю.
Врагов не видать. То что строчки не было - значит АВЗ хорошо поработала.
Как система?
Все в порядке. Ничего не подгружается, работает стабильно. Еще один вопрос: Во время выполнения последнего скрипта я забыл отключить Avast! и перед перезагрузкой он отреагировал уведомлением о том, что обнаружен новый вирус Trojan.Other в каком-то файле v******.sys (название к сожалению не запомнил) в папке Windows. Я потом просканировал всю систему, но ничего не нашел. Наверное, это AVZ какой-то временный файл сохраняет?
Аваст на АВЗ среагировал. Поэтому антивирусы и нужно отключать при выполнении скриптов.
Я в принципе так и понял. Спасибо большое за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]45[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\winreanimator\\install.exe - [B]not-a-virus:FraudTool.Win32.Reanimator.a[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\program files\\winreanimator\\winreanimator.dll - [B]not-a-virus:FraudTool.Win32.Reanimator.d[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\program files\\winreanimator\\winreanimator.exe - [B]not-a-virus:FraudTool.Win32.Reanimator.b[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\windows\\system32\\braviax.exe - [B]Hoax.Win32.Renos.blz[/B] (DrWEB: Trojan.Packed.568)[*] c:\\windows\\system32\\cru629.dat - [B]Backdoor.Win32.Small.cbo[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\univrs32.dat - [B]not-a-virus:AdWare.Win32.Agent.zo[/B] (DrWEB: Trojan.Click.5043)[*] c:\\windows\\system32\\winivstr.exe - [B]not-a-virus:FraudTool.Win32.Reanimator.a[/B] (DrWEB: Trojan.Fakealert.452)[/LIST][/LIST]