virus

AVZ сразу после запуска закрывается

pleazzzzz

Скачайте [URL="http://depositfiles.com/en/files/5384977"]этот [/URL] AVZ и сделайте логи.

пока ждал ответа, вставил винт в другой комп, cureit сообщил:
ftp34.dll -trojan.downloader.63153
svchost.exe с разными путями - тоже trojan.downloader.63153
разные зараженные exe'шники - win32.sector.5
c:\windows\system32\appmgmtu.exe - win32.sector.5
back.exe.exe - trojan.downloader.62867
ftp34.dll -trojan.downloader.63153
hkcmd.exe - win32.sector.5 - исцелен
iedn534.exe, iedn632.exe и др - trojan.downloader.62867
trojan.downloader.63153
win32.sector.5
trojan.click.19083
backdoor.bulknet.213
winnt64.dll, winnt64.dl_ - trojan.downloader.63655
rundll32.exe - win32.sector.5 - исцелен
kdkvm.exe - trojan.virtumod.based.14
igfxpers.exe - trojan.inject.3477 - исцелен
c:\windows\system32\drivers\mfdt47.sys - trojan.spambot.3201
services.exe - trojan.downloader.63152
svchost.exe - trojan.click.19083
winqv74.sys - trojan.rntm.10
c:\userinit.exe - trojan.downloader.63152

---------------
я боюся

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

вирус на компе размножается заражая exe'шники win32.sector.5 - проверил флэшку, которую туда вставлял

теперь нарушены ассоциации с exe - не запускается hijackthis, но компьютер почти ожил

восстановил ассоциации

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Flr85.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}');
DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
QuarantineFile('C:\WINDOWS\system32\uituaacs.dll','');
QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\Documents and Settings\Ирина\svchost.exe','');
BC_DeleteSvc('Vbg27');
QuarantineFile('C:\WINDOWS\System32\drivers\Vbg27.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd85.sys','');
BC_DeleteSvc('msdvdDrv');
QuarantineFile('C:\WINDOWS\system32\msdvdr.sys','');
BC_DeleteSvc('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys','');
BC_DeleteSvc('Flr85');
BC_DeleteSvc('System Event Browser');
QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
BC_DeleteSvc('msdvdr');
QuarantineFile('C:\Documents and Settings\Ирина\ie_updates3r.exe','');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\WINDOWS\system32\Drivers\Flr85.sys','');
QuarantineFile('C:\WINDOWS\system32\mlJApPIB.dll','');
QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
QuarantineFile('c:\temp\60.com','');
DeleteFile('c:\temp\60.com');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Flr85.sys');
DeleteFile('C:\Documents and Settings\Ирина\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\msdvdr.pif');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\sysbrw32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Vbg27.sys');
DeleteFile('C:\Documents and Settings\Ирина\svchost.exe');
DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\helloserv.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\appmgmtu.exe');
DeleteFile('C:\WINDOWS\system32\uituaacs.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
DeleteFile('ddcBRkji.dll');
DeleteFile('sockins32.dll');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

все-равно висит в памяти win32.sector.7
...карантин через 3 мин и заражает файлы win32.sector.5

Куритом с диска проверяли?

да, а он что заражен может быть?
а после курита бесполезно запускать авз и хайджеквис?
сейчас перезагружу тогда компьютер и выполню эти прогаммы.
курит, по ходу, убил файлы в карантине....

------------
...опять выполнить скрипт?

как состояние?
чисто или нет?

:) как насчет ответа сегодня?
...пожалуйста...
:)
вы за убитый карантин обиделись?
я больше не буду

Мы не можем при помощи AVZ, к сожалению, лечить файловые вирусы. Куреит с СД запускали? "Восст. системы" религия отключить не позволяет?
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
DeleteService('Qwd85');
SetServiceStart('Qwd85', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys','');
SetServiceStart('aic32p', 4);
DeleteService('aic32p');
QuarantineFile('c:\temp\60.com','');
DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\appmgmtu.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
DeleteFile('sockins32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepait(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин и сделать новые логи.

отключил восстановление системы,
пролечил все куритом с сидишника.
но после курита, все равно какая-то гадость сидит в памяти и всё заражает - начинаешь проверять во второй раз - опять находит зараженные файлы, но в памяти зараженных процессов не видит при этом.
логи:

после этих логов выполню скрипт и после перезагрузки пришлю новые логи

после скрипта:
...карантин пустой...
что-то как-то бесперспективно, блин :(
переставлять винду?
есть кто-нибудь?

!!! помогите пожалуйста !!!

Давай попробуем вот так:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
DeleteService('Winqv74');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qwd85.sys','');
DeleteService('Qwd85');
QuarantineFile('c:\temp\60.com','');
DeleteFile('c:\temp\60.com');
DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys');
DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После этого сделай новые логи.

вот...
60.com - это avz, т.к. просто avz не запускается - мне его с virusinfo прислали
---------
сейчас аваста установлю - старого вирусы затравили
начал ставить аваста - комп перегрузился

в IceSword C:\WINDOWS\system32\drivers\gsmohn.sys -- force delete
выпроните скрипрт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}');
DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
BC_DeleteSvc('Qwd85');
BC_DeleteSvc('aic32p');
DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

сейчас сделаю....
....но, извините если я не в тему :)
этот вирус заражает почти ВСЕ exe'шники
и при загрузке Винды всё по идее опять заражается, но я не спец конечно... :(
кстати, там нет такого файла, бл*********** (C:\WINDOWS\system32\drivers\gsmohn.sys)