autorun и ati2avxx.exe

Printable View

15.03.2009, 16:19
Gett

autorun и ati2avxx.exe

Собственно это я никак не могу вылечить. Ну авторан - вирус всем известный, я читал много способов борьбы с ним, но вылечить компьютер от него у меня так и не получилось. Симптомы этого вируса стандартны - в первой строке контекстного меню жесткого диска - иероглифы, открытие корневого каталога происходит в новом окне, авторан.инф в корневом каталоге, который постоянно восстанавливается и неотображение скрытых файлов\папок.. Содержимое авторана:
[I][AutoRun]
shell\open=ґтїЄ(&O)
shell\open\Command=tgknpb.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=tgknpb.exe[/I]

Постоянно работает процесс ati2avxx.exe, этот файл расположен в систем32. Иконка у процесса как у jpg картинки. При попытках завершить процесс диспетчер задач просто закрывается. Когда завершаю процесс прогой Process Explorer - он возрождается сразу же.
Пишу здесь потому, что уже всё обгуглил, выполнял avz-скрипты, которые находил на разных форумах, прверял систему dr.web cureit'ом - всё безтолку. Антивируса у меня не установлено. Прошу помочь!
15.03.2009, 16:25
V_Bond

[url]http://virusinfo.info/showthread.php?t=1235[/url]
15.03.2009, 19:10
Gett

Вложений: 3

Да, мне стоило прочесть правила... Вот логи
15.03.2009, 19:18
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\tgknpb.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\IMES.dll','');
TerminateProcessByName('c:\windows\system32\ati2avxx.exe');
QuarantineFile('c:\windows\system32\ati2avxx.exe','');
DeleteFile('c:\windows\system32\ati2avxx.exe');
DeleteFile('C:\WINDOWS\system32\IMES.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\tgknpb.exe');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
15.03.2009, 19:58
Gett

Вложений: 3

Вот логи после скрипта.. И карантин
15.03.2009, 20:46
Gett

Карантин загрузился? Я не знаю где это посмотреть
-----
Ещё забыл упомянуть про множество дос-окон, появляющихся напару с сообщением о ntvdm-процессоре. Могу показать скриншот.. Я не знаю связаны ли эти окна с упомянутыми мной выше вирусами
15.03.2009, 21:18
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ati2avxx.exe');
QuarantineFile('c:\windows\system32\ati2avxx.exe','');
QuarantineFile('C:\WINDOWS\system32\IMES.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\tgknpb.exe','');
BC_DeleteFile('c:\windows\system32\ati2avxx.exe');
DeleteFile('C:\WINDOWS\system32\IMES.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\tgknpb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=41767[/URL]

3. Повторите логи.
17.03.2009, 17:21
Gett

Вложений: 3

Вот логи. Карантин тоже вроде залил

Так скриншот дос-окон не нужен?
17.03.2009, 20:20
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\mlburmh.exe');
DeleteFile('c:\ati2bvxx.exe');
DeleteFile('%System%\moyulh.dll');
DeleteFile('%System%\ati2bvxx.exe');
DeleteFile('%System%\aoupbie.dll');
DeleteFile('c:\windows\system32\ati2avxx.exe');
DeleteFile('C:\WINDOWS\system32\IMES.dll');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\moyulh.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\tgknpb.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
17.03.2009, 23:57
Gett

Вложений: 3

Карантин залил, логи вот
18.03.2009, 23:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.inf - [B]Worm.Win32.AutoRun.dvw[/B]( BitDefender: Trojan.Autorun.AEX )[*] c:\tgknpb.exe - [B]Worm.Win32.AutoRun.diq[/B]( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA )[*] c:\windows\system32\ati2avxx.exe - [B]Worm.Win32.AutoRun.diq[/B]( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA )[*] c:\windows\system32\imes.dll - [B]Trojan.Win32.Delf.fjk[/B]( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA )[/LIST][/LIST]