Malware Doctor

Помогите пожалуйста с этим.

Пробовали разные антивирусы. Ничего не помогает. Страдаем уже неделю, пока на ваш сайт не забрели.

Очень просим.

Макафи деинсталировать обязательно, иначе ничего не получиться. Он авз мешает работать.
[B]Только[/B] [U]после[/U] удаления хозяйства от макафи выполнить скрипт в авз:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
DelBHO('{aff01325-0fc2-4749-8914-fbf0565ad9cc}');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\1361538659.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mfetdik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mfehidk.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\84492c52.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\4d804b7.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\478a92ea.sys','');
QuarantineFile('C:\WINDOWS\system32\jbnmcd.dll','');
TerminateProcessByName('c:\windows\system32\avast!antivirus.exe');
QuarantineFile('c:\windows\system32\avast!antivirus.exe','');
DeleteFile('c:\windows\system32\avast!antivirus.exe');
DeleteFile('C:\WINDOWS\system32\jbnmcd.dll');
DeleteFile('C:\WINDOWS\System32\drivers\478a92ea.sys');
DeleteFile('C:\WINDOWS\System32\drivers\4d804b7.sys');
DeleteFile('C:\WINDOWS\System32\drivers\84492c52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mfehidk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mfetdik.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\1361538659.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать -> : [url]http://virusinfo.info/upload_virus.php?tid=47441[/url]).
Повторить логи.

Я читал, что его надо удалить и сделал это перед диагностикой AVZ.
Но возможно нужно было перегрузить компьютер после удаления макафи и только после этого делать диагностику?

Сейчас макафи в трее по крайней мере не фигурирует. Гляну на запущенные службы.

[QUOTE=Blahonix;413430]Я
Но возможно нужно было перегрузить компьютер после удаления макафи и только после этого делать диагностику?

[/QUOTE]
Естественно Ватсон, перезагрузка необходима :) Драйвера от него в логах висели.
Выполняйте то что сказал.

Я в шоке. Этот нехороший доктор пропал. :094:
Хотел бы знать, как вы это сделали. Спасибо.

Карантин вложил.

Логи минут через 30. Там руткиты остались и еще что-то.

карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=47441[/url] присылать, без красной карточки никак не понять?

Сорри, забегался. Карантин отослал по ссылке.

Сделал повторное сканирование.

Только что обнаружили, что с этого компьютера активно рассылается спам.
IP-адрес в блок-листе.

Скачать Gmer. В нем найти и удалить:C:\WINDOWS\System32\drivers\47380c72.sys
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('c3fa27c5');
QuarantineFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\84492c52.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\4d804b7.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\478a92ea.sys','');
DeleteService('84492c52');
DeleteService('4d804b7');
DeleteService('478a92ea');
QuarantineFile('C:\WINDOWS\System32\drivers\47380c72.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\47380c72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=47441[/url]

Сделал. Логи обновил.

Гмер ругнулся на найденый в памяти руткит, но удалить не смог. Удалил руткит, запустив Gmer через AVZGuard.
После прогона вашего скрипта, Gmer перестал ругаться.

Карантин закачал.

выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('c5b2b8ae');
DeleteFile('C:\WINDOWS\System32\drivers\c5b2b8ae.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
сделать заново логи.

Выполнил. Все сделал как велели, хотя спам пропал еще после предыдущего скрипта.

Там действительно еще что-то есть или просто это перестраховка?

Это зачистка следов. Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('84492c52');
BC_DeleteSvc('4d804b7');
BC_DeleteSvc('478a92ea');
DeleteFile('C:\WINDOWS\System32\drivers\478a92ea.sys');
DeleteFile('C:\WINDOWS\System32\drivers\4d804b7.sys');
DeleteFile('C:\WINDOWS\System32\drivers\84492c52.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд скрипт №2 и прислать лог.

После этого еще надо будет пролечить реестр по теме [url]http://virusinfo.info/showthread.php?t=43700[/url]

Выложил скрипт №2.
Сейчас буду изучать тему лечения реестра.

Операционная система не обновляется. Пишет, что ошибка, недостаточно прав.

[QUOTE=Blahonix;414774]Операционная система не обновляется. [/QUOTE]

Реестр вылечили? Если нет, то обновляться не будет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\application data\1361538659.exe - [B]not-a-virus:FraudTool.Win32.MalwareDoctor.ar[/B] ( DrWEB: Trojan.Fakealert.4335, BitDefender: Gen:Trojan.Heur.Hype.50609F9F9F )[*] c:\progra~1\netsup~1\pcihooks.dll - [B]Trojan-Spy.Win32.Agent.avvk[/B] ( DrWEB: Program.Keylogger.15 )[*] c:\windows\system32\avast!antivirus.exe - [B]Trojan-Downloader.Win32.Agent.cfbq[/B] ( DrWEB: Trojan.DownLoad.37569, BitDefender: Trojan.Downloader.Agent.AANY )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]