Атаковали автораны

Доброго времени суток!
Надоели автораны, все флэшки перезаражали. Зашёл бы раньше, да какой-то зверь заблокировал ваш сайт, не сразу догадался, что это умышленно. Сейчас прописал ваш ip в ...\drivers\etc\host, вроде стали пускать:)
Прилагаю логи, правда сделаны давнишней версией avz

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
QuarantineFile('C:\WINDOWS\system32\sxmg4.rar','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
DeleteFile('C:\WINDOWS\system32\sxmg4.rar');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=44513[/URL]

3. Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Сделайте лог Gmer [url]http://virusinfo.info/showthread.php?t=40118[/url]

Направил карантин, сделал логи, а вот с гмером неприятность.:? просто не запускается. Попытался скачать заново - не пускают на сайт. Прописал в host ip, скачал, запустил - через секунду вылетает. Раньше прекрасно работал...

Анекдот почти в тему:
-Доктор, помогите, меня все игнорируют!
-Следующий!!!:(
Так что с гмером-то делать??? Кто-нибудь в курсе?

[QUOTE=Nekromant;393330]Так что с гмером-то делать??? Кто-нибудь в курсе?[/QUOTE]
Попробуйте это [URL]http://virusinfo.info/showthread.php?t=41675[/URL]

После, не перегружая машину сделайте лог Gmer [URL]http://virusinfo.info/showthread.php?t=40118[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Максим\sxs32.exe');
QuarantineFile('c:\documents and settings\Максим\sxs32.exe','');
QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temp\don2.tmp','');
QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temp\don3.tmp','');
QuarantineFile('C:\Documents and Settings\Максим\М.rar','');
DeleteFile('c:\documents and settings\Максим\sxs32.exe');
DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\don2.tmp');
DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\don3.tmp');
DeleteFile('C:\Documents and Settings\Максим\М.rar');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=44513[/url]

3. Повторите логи.

Sorry, Aleksandra! Больше не буду обзываться!;)
Хотя согласитесь, подействовало!
Насчёт гмера допёр сам, наткнувшись на тему drongo насчёт переименования антивирусов. (мои эксперименты видно в логах - gmer2 и проч.). Помогло только полное переименование, на смену расширения не реагировал.
Но короче. Скачал kkiller, прогнал. Запустил гмер, не дождался окончания, заснул. :>
Прилагаю карантин и логи.

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('bluqxs');
QuarantineFile('C:\WINDOWS\system32\qwdepa.dll','');
DeleteFile('C:\WINDOWS\system32\qwdepa.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\bluqxs','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\bluqxs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('bluqxs');
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=44513[/URL]

3. Повторите лог Gmer.

Это снова я.
Последние сутки с компом творилось что-то непонятное.
После выполнения предоженного скрипта компьютер отказался перегружаться, пришлось его выключить насильно. Затем начались старые проблемы - оригинальный gmer не запускался, переименованный сигнализировал красным, что bluqxs по прежнему в системе. Карантин avz оказался пустым (прилагаю). Плюс ко всему не было выхода в интернет, только на яндекс и ещё на пару сайтов. Сегодня с третьего раза удалось сделать все логи, и заработал интернет. Кстати, если раньше на выполнение стандартноых скриптов уходило не больше 20 минут, то теперь гмер тратит 4(!!!) часа, avz скрипты 2 и 3 выполняет по часу. Короче, посмотрите логи, если время будет...:O

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\csrs.exe.q_8043166_q','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\sxmg4.dll.q_8048400_q','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\winpad23.exe.q_D565200_q','');
QuarantineFile('C:\WINDOWS\system32\wpv331230374798.cpx','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\csrs.exe.q_8043166_q');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\sxmg4.dll.q_8048400_q');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\winpad23.exe.q_D565200_q');
DeleteFile('C:\WINDOWS\system32\wpv331230374798.cpx');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=44513[/URL]

3. Повторите логи.

направил карантин, компьютер натужно перегрузился (за 3 мин.)
Сделал логи (уже быстрее - минут по двадцать на каждый):?

Что с проблемами?

А что, уже закончили?:shok:
я только начал...
Вроде всё ок, thank you...:give_rose:
если что увижу, напишу...

1. Рекомендую сделать полную проверку компьютера с помощью [URL="http://downloads.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool.[/URL]

2. Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

Sorry за глупый вопрос - диски при выполнении скрипта №4 помечать? Если да, то за "0,5-2 мин" не управиться, полчаса минимум...
В общем, по сообщениям нашёл avz у меня и sxs32.exe, и кувэдепу эту несчастную (qwdepa.dll), а потом выпал без объяснения... Мне продолжать? Завтра продолжу, спать пора.
А на AVP трафика не хватает качать, у меня не анлим...

Cyberhelper'у карантин отправил, посмотрим, что скажет.
Прогнал "Касперского для Яндекс.Онлайн", тот ничего серьёзного не накопал.
Прицепил логи, поглядите опытным взглядом, может чего не так...
sxs32.dll и qwdepa.dll удалил ручками.
Cyber даёт добро:)

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\Temporary Internet Files\Content.IE5\KXABC1ER\sxs[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]

Доброго времени суток, это опять я!
Пять дней провайдер не пускает в интернет по ADSL, пришлось достать старый модем и вспомнить молодость>:(
Прикрепил логи. Вроде бы пока всё чисто...

Прикрепите недостающий лог...

Прошу прощения за медленную реакцию:blush:...
Сделал все логи по-новой

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\максим\local settings\temp\don2.tmp - [B]Trojan-Ransom.Win32.Blocker.ae[/B] ( DrWEB: Trojan.Winlock.55 )[*] c:\documents and settings\максим\local settings\temp\don3.tmp - [B]Trojan-Ransom.Win32.Blocker.ae[/B] ( DrWEB: Trojan.Winlock.55 )[*] c:\documents and settings\максим\sxs32.exe - [B]Trojan.Win32.Pakes.njl[/B] ( DrWEB: Trojan.Packed.162, BitDefender: Packer.Krunchy.A )[*] c:\documents and settings\максим\м.rar - [B]Worm.Win32.AutoRun.fhw[/B] ( DrWEB: archive: Win32.HLLW.Lime.3 )[*] c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe - [B]Trojan.Win32.Pakes.njq[/B] ( DrWEB: Trojan.Packed.162, BitDefender: Packer.RLPack.D )[*] c:\windows\system32\sxmg4.rar - [B]Trojan-Downloader.Win32.FraudLoad.vdjm[/B] ( DrWEB: archive: Trojan.Fakealert.3765, BitDefender: Trojan.Spy.Nucals.AC )[*] c:\windows\system32\wpv331230374798.cpx - [B]Trojan-Downloader.Win32.Injecter.bhi[/B] ( DrWEB: Trojan.DownLoad.26718, BitDefender: Trojan.Generic.1266132 )[/LIST][/LIST]