Системы начинают чудить

Printable View

02.07.2009, 17:30
pog0

Системы начинают чудить

Доброго времени суток.
Народ помогите пожалуйста уже второй комп в сети
не может на virusinfo.info, kaspersky.ru, drweb.ru зайти
выкидывает на какие то левые сайты. Но попробовал
сейчас зашёл вот и пишу. avz.exe не запускаеться нефига,
некоторые сайты вначале открываються нормально, а потом
меняеться кодировка на иерогливы.
Подскажите как быть?
Заранее спасибо!
[COLOR=#008000][/COLOR]
02.07.2009, 17:42
DefesT

нужны логи по правилам. Попробуйте переименовать файл [B]Avz.exe[/B] в [B]Gomer.com[/B], например.
03.07.2009, 09:21
pog0

Спасибо помогло
Посмотрите пожалуйста логи
файлик virusinfo_cure.zip
подгрузить не могу, он весит 70,5 мб о_0
03.07.2009, 09:36
DefesT

virusinfo_cure.zip - грузить сюда не надо, надо было еще лог сделать [B]virusinfo_syscheck.zip[/B]
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\msdriver.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\svchost.exe
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msdriver.exe');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\msdriver.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\msdriver.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"]Прислать запрошенный карантин[/COLOR] вверху темы. Очистите временный папки интернета.
Сделайте новые логи по правилам - [B]virusinfo_syscure.zip[/B], [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B]
03.07.2009, 09:56
pog0

Карантин прикрепил
Файл сохранён как 090703_095548_virus_4a4d9d6417205.zip
Размер файла 35541
MD5 d815d6132561a7bca6ba6c4a2e17adb5
щас повторю логи
03.07.2009, 10:59
pog0

Повторяю логи, поглядите пожалуйста
ещё вопросик такой в папке
C:\Documents and Settings\polzovatel в корне
лежит файлик 9293.exe похожего не качалось
да и вообще на вирус похоже, как быть с этим?
03.07.2009, 11:40
DefesT

В логах данный файл неотображается, скорее это вредонос (возможно битый), запакуйте его в архив с паролем 'virus' и пришлите [url]http://virusinfo.info/upload_virus.php?tid=49165[/url]
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Сделайте новые логи по правилам.
03.07.2009, 11:53
pog0

архив с файликом выслал
Файл сохранён как 090703_115312_9392_4a4db8e889a5b.zip
Размер файла 33374
MD5 f343e8dda00002847529d628e8c3195f
03.07.2009, 12:57
PavelA

Вот так теперь это будет называться:
msdriver.exe_ detected Trojan-Clicker.Win32.Agent.hul
03.07.2009, 13:53
pog0

Поглядите пожалуйста повторённые логи и подскажите что делать с этим этим файлом-вирусом, др Веб его не находит, как оказалось avz тоже(
03.07.2009, 15:33
PavelA

Еще чего-то поймали :(
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
ClearQuarantine;
QuarantineFile('digiwet.dll','');
BC_DeleteSvc('SysmonLogHTTPFilter');
QuarantineFile('C:\WINDOWS\system32\adortl70c.exe','');
DeleteFile('C:\WINDOWS\system32\adortl70c.exe');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Приложению 3 Правил.
Сделать логи зново.
03.07.2009, 17:43
pog0

Вот высылаю в очередной раз
повторённые логи ))
а карантина нету поглядите пожалуйста
03.07.2009, 18:13
DefesT

Вот теперь чисто.
03.07.2009, 18:19
pog0

А что делать с файликом 9192.ехе
он же как сказал PavelA
msdriver.exe_ detected Trojan-Clicker.Win32.Agent.hul ??
лежит он повторюсь по пути
C:\Documents and Settings\polzovatel в корне
03.07.2009, 18:32
DefesT

9192.ехе - тоже [B]Trojan-Clicker.Win32.Agent.hul[/B]
Адрес такой - C:\Documents and Settings\[B]polzovatel[/B]\9192.exe?
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
DeleteFile('C:\Documents and Settings\polzovatel\9192.exe');
end.[/CODE]
Или руками удалите.
06.07.2009, 09:32
pog0

Выполнил скрипт, перезагрузил комп, файлик
остался, удалил его руками и опять перезагрузил
комп, вроде вирус больше не появился
Всем Спасибо!
07.07.2009, 09:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\msdriver.exe - [B]Trojan-Clicker.Win32.Agent.hul[/B][*] \9392.exe - [B]Trojan-Clicker.Win32.Agent.hul[/B][/LIST][/LIST]