Помогите

При работе с литературным сайтом ([URL]hттp://www.strana-oz.ru/authors/?author=638[/URL]), после скачивания медицинской статьи, комп(Win XP SP2, IE6.0.2900.2180.xpsp_sp2) заразился очень неприятным вирусом. К мышке намертво прикрепляется окно(что не даёт пользоваться мышкой) с рекламой гей-порно сайта и предложением послать смс(на популярные кидальные номера) для того, чтоб это всё отключить. Система была под NOD32 с актуальными базами. Сканирование винта с заражённого компа последними: др.Вебовским CureIt, касперовским Remuval Tool, NOD32 ничего не дало. Запустить Remuval Tool на заражённом не удалось, но нет уверенности, что это из-за вируса. Открыть на заражённом компе диспечер задач невозможно, точнее он его запускает и сразу сворачивает в трэй. При сканировании винта каспером 2009 с последними базами он вроде обнаружился эвристикой как "Trojan-Downloader.script.generic", но его удаление ничего не дало, в смысле окно с гей-информером никуда не делось...

Скачай и запусти AVZ из моей подписи.

[quote=PavelA;376649]Скачай и запусти AVZ из моей подписи.[/quote]

Два вопроса:

1. Именно этот? Просто свежий AVZ есть, со свежими базами...
2. На заражённом компе запускать или можно просто винт просканировать?

Делайте логи в скаченном avz

да, именно это. Запускать на зараженном.
Можно вот этим попробовать z-oleg.com\avz.exe

[quote=PavelA;376692]да, именно это. Запускать на зараженном.
Можно вот этим попробовать z-oleg.com\avz.exe[/quote]

Собственно заражённый винт на нормальном компе уже просканил. Однако что-то нашлось:

E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc43.05\Fw Копцепция развития здравоохранения в области редких болезней.msg/{MS-OLE}/\__recip_version1.0_#00000001\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc67.msg/{MS-OLE}/\__recip_version1.0_#00000008\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

Ни один авирь этого не видел, но это ни то, походу. По крайней мере удаление ничего не дало...


P.S. Кстати, а по ссылке никто не ходил? :)

Мне логи с системы нужны. Поизучаем, выдадим вердикт.

[quote=PavelA;376719]Мне логи с системы нужны. Поизучаем, выдадим вердикт.[/quote]

Понимаю, просто работать в винде с клавы(без мыши), это то ещё удовольствие. Пока вроде скан на заражённом запустил, надеюсь и с логом всё плучится...

А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.

[quote=Rene-gad;376735]А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.[/quote]

Не... Мышь стандартная, я выше писал, что окно с рекламой гей сайта и предложением заплатить за мышкой болтается. Можно только на кнопочку "отключить" нажать, остальному мешает... :)

[quote=PavelA;376719]Мне логи с системы нужны. Поизучаем, выдадим вердикт.[/quote]

Вот, лог с заражённого. Вызывает подозрение svchost, который в C:\Program Files\Microsoft Common лежит, а не в C:\WINDOWS\system32

Причем, его удаление привело к тому, загрузка зависает на прорисовке рабочего стола, т.е. только картинка стола прорисовывается и все...

Кстати, размер этого svchost 23216 вместо 14336...

Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.

Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".

[quote=PavelA;376781]Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.[/quote]

Собственно с главной проблемой(гей-информером) справились сами. Процесс(mscmd.exe) просто из автозагрузки в настройке системы убрали, правда на него совершенно никакой авирь напрямую не показал, AVZ в том числе. Если надо сам вирус пришлю...

А вот svchost про который раньше говорил, походу тоже троян и убрать его хочется... логи по правилам прикрепляю...

[quote] ...Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".[/quote]

Насчет этого не понял. Сейчас это сделать? не дожидаясь заключения(скриптов) от Вас?

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\huadio.tmp','');
DeleteService('autorun');
QuarantineFile('c:\windows\system32\mscmd.exe','');
TerminateProcessByName('c:\windows\system32\mscmd.exe');
DeleteFile('c:\windows\system32\mscmd.exe');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
end.[/CODE]

Сделать заново логи.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=42380[/url]
Да, и еще, после окончания лечения надо будет менять пароли.

[quote=PavelA;377292]Выполнить:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
[B][COLOR=darkred]QuarantineFile('C:\WINDOWS\system32\ntos.exe','');[/COLOR][/B]
[COLOR=darkred][B]QuarantineFile('c:\huadio.tmp','');[/B][/COLOR]
DeleteService('autorun');
QuarantineFile('c:\windows\system32\mscmd.exe','');
TerminateProcessByName('c:\windows\system32\mscmd.exe');
DeleteFile('c:\windows\system32\mscmd.exe');
[B][COLOR=darkred]DeleteFile('c:\huadio.tmp');[/COLOR][/B]
[COLOR=darkred][B]DeleteFile('C:\WINDOWS\system32\MsSip1.dll');[/B][/COLOR]
[B][COLOR=darkred]DeleteFile('C:\WINDOWS\system32\MsSip2.dll');[/COLOR][/B]
[B][COLOR=darkred]DeleteFile('C:\WINDOWS\system32\MsSip3.dll');[/COLOR][/B]
[COLOR=darkred][B]DeleteFile('C:\WINDOWS\system32\ntos.exe');[/B][/COLOR]
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
end.[/code][/quote]

Специально для Вас :) снова запустил на компе вирус, скрипт лечения сработал нормально. Правда выделенного не было уже... Честно говоря не помню, чтоб это всё хоть чем-нибудь находилось и чистилось... Кстати, что за фиговина(C:\WINDOWS\system32\drivers\vdezmza1.sys 13312) во время лечения пролезть попыталась?

[quote]Сделать заново логи.[/quote]

позже скину, если надо, сегодня не успею уже...

[quote]Загрузить карантин по Правилам[/quote]

Загрузил...

C:\WINDOWS\system32\drivers\vdezmza1.sys - это нормальный файл, нужный для лечения.

Все то, что написано в скрипте, когда-то жило на машине.
ntos.exe - ворователь паролей.
MsSip*.exe - это в инсталяшку Зверя зашито. Один раз выполняется, а из автозагрузки не убирается.

vdezmza1.sys-драйвер AVZ...

[QUOTE=Гриша;377431]vdezmza1.sys-драйвер AVZ...[/QUOTE]

Офф: Грише. С возвращением на службу.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.addp[/B][*] c:\windows\system32\mscmd.exe - [B]Trojan-Ransom.Win32.Gazon.c[/B][/LIST][/LIST]