Malware Doctor

Printable View

30.05.2009, 16:25
Alexandra91

Вложений: 3

Malware Doctor

Вирус MalWare Doctor. Не отключается, просит регистрации.
Всё сделала по правилам.
30.05.2009, 16:33
Rene-gad

[QUOTE=Alexandra91;409334]Всё сделала по правилам.[/QUOTE] Угу, а это что?
[QUOTE]Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: phnlibP - {638e9359-625e-4e8a-aa5b-824654c3239b} - (no file)
O2 - BHO: Microsoft copyright - {F30B5E7E-CFBB-44fb-A947-226E5A7A4290} - jhxm32.dll (file missing)
O4 - HKCU\..\Run: [InetChk] C:\DOCUME~1\86310\LOCALS~1\Temp\ms1238771204.exe work
O4 - HKCU\..\Run: [Malware Doctor] C:\Documents and Settings\LocalService\Application Data\691447002.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: crypt - C:\WINDOWS\[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\avast!antivirus.exe');
TerminateProcessByName('c:\documents and settings\localservice\application data\691447002.exe');
QuarantineFile('C:\WINDOWS\System32\drivers\651acc35.sys','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\TEMP\ms1239185291.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\691447002.exe','');
QuarantineFile('C:\DOCUME~1\86310\LOCALS~1\Temp\ms1238771204.exe','');
QuarantineFile('c:\windows\system32\avast!antivirus.exe','');
QuarantineFile('c:\documents and settings\localservice\application data\691447002.exe','');
DeleteFile('c:\documents and settings\localservice\application data\691447002.exe');
DeleteFile('c:\windows\system32\avast!antivirus.exe');
DeleteFile('C:\DOCUME~1\86310\LOCALS~1\Temp\ms1238771204.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\691447002.exe');
DeleteFile('C:\WINDOWS\TEMP\ms1239185291.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\System32\drivers\651acc35.sys');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(7);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
30.05.2009, 17:59
Alexandra91

Вложений: 2

Старалсь сделать всё правильно.
Вирус исчез.
Спасибо большое.

virusinfo_syscure.zip не загружается.
Попозже переделаю.
30.05.2009, 18:58
Kuzz

Вам нужно выполнить [URL="http://virusinfo.info/showpost.php?p=386579&postcount=1"]эту процедуру[/URL]

Т.к. у Вас ноутбук с программами от производителей - полезно [URL="http://virusinfo.info/showthread.php?t=3519"]внести их в список известных AVZ[/URL]
30.05.2009, 20:07
Rene-gad

[QUOTE=Alexandra91;409374]
virusinfo_syscure.zip не загружается.
Попозже переделаю.[/QUOTE]
virusinfo_syscure.zip должен быть сделан ПЕРВЫМ. Потом переделаете ВСЕ логи, плиз.
01.06.2009, 18:30
Alexandra91

Вложений: 3

Сделала.
01.06.2009, 20:18
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('651acc35');
QuarantineFile('C:\WINDOWS\System32\drivers\651acc35.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HRJ2LD5X\mlw[1].exe','');
QuarantineFile('C:\Avenger\FieryAds.dll','');
DeleteFile('C:\Avenger\FieryAds.dll');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HRJ2LD5X\mlw[1].exe');
DeleteFile('C:\WINDOWS\System32\drivers\651acc35.sys');
DeleteService('651acc35');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('651acc35');
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
01.06.2009, 22:17
Alexandra91

Вложений: 3

Сделала.
02.06.2009, 00:12
Rene-gad

[QUOTE]Восстановление системы: включено[/QUOTE]Отключите, обновите базы АВЗ, повторите логи.
06.06.2009, 15:13
Alexandra91

Вложений: 3

В этот раз без переименовки ни авз ни hijack не открывались.
Также перестал работать Nod32.Пишет,что произошли проблемы при обмене данными с ядром.
06.06.2009, 15:24
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\525780.msi','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\windows\ehome\mcrdsvc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
QuarantineFile('C:\Documents and Settings\86310\Start Menu\Programs\Startup\rncsys32.exe','');
DeleteFile('C:\WINDOWS\system32\acelpdeca.exe');
DeleteService('nicsk32');
StopService('nicsk32');
DeleteService('napagentAdobeActiveFileMonitor4.0');
QuarantineFile('C:\WINDOWS\system32\drivers\regi.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ak2jc.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\wintab32.dll','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
QuarantineFile('c:\windows\system32\dla\dlactrlw.exe','');
QuarantineFile('c:\documents and settings\86310\86310.exe','');
DeleteFile('c:\documents and settings\86310\86310.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('napagentAdobeActiveFileMonitor4.0');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\Installer\525780.msi');
ExecuteRepair(9);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Повторить логи
06.06.2009, 17:44
Alexandra91

Вложений: 3

Спасибо.
07.06.2009, 17:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]119[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\application data\691447002.exe - [B]not-a-virus:FraudTool.Win32.MalwareDoctor.an[/B] ( DrWEB: Trojan.Fakealert.4335, BitDefender: Application.Generic.121218 )[*] c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\hrj2ld5x\mlw[1].exe - [B]not-a-virus:FraudTool.Win32.MalwareDoctor.an[/B] ( DrWEB: Trojan.Fakealert.4335, BitDefender: Application.Generic.121218 )[*] c:\documents and settings\86310\start menu\programs\startup\rncsys32.exe - [B]Trojan.Win32.Inject.adah[/B] ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.CJ.VS )[*] c:\documents and settings\86310\86310.exe - [B]Trojan.Win32.Rabbit.ea[/B] ( DrWEB: Trojan.Inject.5812 )[*] c:\recycler\s-1-5-21-1345492424-2375159188-351294995-3934\sysdate.exe - [B]P2P-Worm.Win32.Palevo.fqh[/B] ( DrWEB: Win32.HLLW.Lime.5, BitDefender: Gen:Trojan.Heur.P40708F9F9F )[*] c:\windows\system32\accwizu.exe - [B]Backdoor.Win32.Agent.agrd[/B] ( DrWEB: BackDoor.IRC.Bot.114 )[*] c:\windows\system32\avast!antivirus.exe - [B]Trojan-Downloader.Win32.Agent.ccup[/B] ( DrWEB: Trojan.DownLoad.37569 )[*] c:\windows\system32\calc.ifo - [B]Trojan-Downloader.Win32.Small.jvg[/B] ( DrWEB: Trojan.DownLoad.38281 )[*] c:\windows\system32\drivers\nicsk32.sys - [B]Trojan-Dropper.Win32.Agent.asdd[/B] ( DrWEB: Trojan.DownLoad.38180, BitDefender: Trojan.Generic.1947976 )[*] c:\windows\system32\drivers\svchost.exe - [B]Trojan-Clicker.Win32.Agent.hrp[/B] ( DrWEB: Trojan.Click.25482 )[/LIST][/LIST]