Вирусы. Однозначно.

Printable View

12.08.2009, 08:39
visahouse

Вирусы. Однозначно.

Касперский перестал работать.
Обычный вариант AVZ4 не запускается, говорит access violation.
Запустил полиморфный.
12.08.2009, 09:13
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\twex.exe','');
QuarantineFile('H:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('H:\Program Files\Common Files\System\WebCheck.dll','');
QuarantineFile('H:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hcgwin32.exe','');
QuarantineFile('C:\WINDOWS\outlooks\mediaplayer.exe','');
QuarantineFile('C:\WINDOWS\coming\lcomxp.exe','');
QuarantineFile('H:\WINDOWS\system32\rtadta.sys','');
DeleteService('rtadta');
QuarantineFile('h:\windows\system32\vhosts.exe','');
DeleteService('msupdate');
QuarantineFile('H:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('H:\WINDOWS\system32\rtadtm.dll','');
QuarantineFile('H:\WINDOWS\system32\tapi.nfo','');
DeleteFile('H:\WINDOWS\system32\tapi.nfo');
DeleteFile('H:\WINDOWS\system32\rtadtm.dll');
DeleteFile('H:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('h:\windows\system32\vhosts.exe');
DeleteFile('H:\WINDOWS\system32\rtadta.sys');
DeleteFile('C:\WINDOWS\coming\lcomxp.exe');
DeleteFile('C:\WINDOWS\outlooks\mediaplayer.exe');
DeleteFile('H:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hcgwin32.exe');
DeleteFile('H:\WINDOWS\system32\sdra64.exe');
DeleteFile('H:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи (попробуйте обычным AVZ, не забыв обновить базы)
12.08.2009, 11:42
visahouse

Обычный так и не запускается.

Карантин выслал
12.08.2009, 13:07
thyrex

Отключить антивирус и файрволл

Пофиксить в HiJack
[CODE]R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\WINDOWS\system32\sdra64.exe,H:\WINDOWS\system32\twex.exe,
O4 - HKLM\..\Run: [lcomxp.exe] C:\WINDOWS\coming\lcomxp.exe
O4 - HKLM\..\Run: [mediaplayer.exe] C:\WINDOWS\outlooks\mediaplayer.exe
O4 - HKCU\..\Run: [dllhost] C:\WINDOWS\coming\lcomxp.exe
O20 - Winlogon Notify: rtadtm - rtadtm.dll (file missing)[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('H:\Program Files\Common Files\System\WebCheck.dll','');
QuarantineFile('C:\WINDOWS\outlooks\mediaplayer.exe','');
QuarantineFile('C:\WINDOWS\coming\lcomxp.exe','');
QuarantineFile('H:\WINDOWS\system32\rtadta.sys','');
DeleteService('rtadta');
QuarantineFile('h:\windows\system32\vhosts.exe','');
DeleteService('msupdate');
QuarantineFile('H:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('H:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('h:\windows\system32\vhosts.exe');
DeleteFile('H:\WINDOWS\system32\rtadta.sys');
DeleteFile('C:\WINDOWS\outlooks\mediaplayer.exe');
DeleteFile('H:\Program Files\Common Files\System\WebCheck.dll');
DeleteFile('H:\WINDOWS\system32\sdra64.exe');
QuarantineFile('H:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('H:\WINDOWS\System32\sfcfiles.dll', 'H:\WINDOWS\System32\sfcfiles.bak');
CopyFile('H:\WINDOWS\System32\dllcache\sfcfiles.dll','H:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('H:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('H:\WINDOWS\System32\kernel32.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
12.08.2009, 14:55
visahouse

не помогало
в итоге грузанулся с флешки, там запустил CureIT и она почистила вирусы.

после этого смог запустить в уже нормальном режиме AVZ4.
12.08.2009, 15:25
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\WINDOWS\system32\sdra64.exe,H:\WINDOWS\system32\twex.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\twex.exe','');
QuarantineFile('H:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('H:\Program Files\Common Files\System\WebCheck.dll','');
DeleteFile('H:\Program Files\Common Files\System\WebCheck.dll');
DeleteFile('H:\WINDOWS\system32\sdra64.exe');
DeleteFile('H:\WINDOWS\system32\twex.exe');
DeleteFile('H:\WINDOWS\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
12.08.2009, 16:19
visahouse

Высылаю
12.08.2009, 16:29
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('H:\Program Files\Common Files\SPC630NC\CloseSTBT.exe','');
QuarantineFile('H:\DOCUME~1\1\LOCALS~1\Temp\bDMusicb.sys','');
QuarantineFile('H:\WINDOWS\STVSPCButton.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
13.08.2009, 08:38
visahouse

Карантин выслал. А логи не нужно? Всё вычищено уже?
13.08.2009, 08:59
thyrex

Карантин получен. Часть находится на исследовании
14.08.2009, 08:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\documents and settings\1\главное меню\программы\автозагрузка\hcgwin32.exe - [B]Backdoor.Win32.Bredolab.fv[/B] ( DrWEB: Trojan.Botnetlog.11, BitDefender: Gen:Packed.cqW@bCMVrgec, AVAST4: Win32:Walivun [Trj] )[*] h:\program files\common files\system\webcheck.bak - [B]Trojan.Win32.Pakes.npc[/B] ( DrWEB: Trojan.Siggen.3295 )[*] h:\program files\common files\system\webcheck.dll - [B]Trojan.Win32.Pakes.npc[/B] ( DrWEB: Trojan.Siggen.3295 )[*] h:\windows\system32\rtadtm.dll - [B]Trojan-Spy.Win32.Goldun.cos[/B] ( BitDefender: Trojan.Spy.Goldun.NCN, NOD32: Win32/Spy.Goldun.BVX trojan, AVAST4: Win32:Spyware-gen [Trj] )[*] h:\windows\system32\sdra64.exe - [B]Trojan-Banker.Win32.Bancos.fkn[/B] ( NOD32: Win32/Spy.Zbot.JF trojan, AVAST4: Win32:Zbot-LXL [Trj] )[*] h:\windows\system32\tapi.nfo - [B]Trojan-Downloader.Win32.Small.alzl[/B] ( DrWEB: Trojan.DownLoad.43149, NOD32: Win32/Oficla.E trojan, AVAST4: Win32:Small-NAD [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]