Buzus.btrs и LSASS.exe

Printable View

18.08.2009, 16:34
ghizma

Buzus.btrs и LSASS.exe

Добрый день!
После включения компьютера Касперский обнараружил
Заражен: троянская программа Trojan.Win32.Buzus.btrs C:\DOCUMENTS AND SETTINGS\DENIS\APPLICATION DATA\MICROSOFT\WINDOWS\LSASS.EXE 65,5 КБ
После удаления компьютер сам перезагрузился, и при включении появляются ошибки уведомления отправки отчетов в Микрософт якобы программы не могут запустится из за ошибки kernel такие программы из автозагрузки как Explorer, pragma, kasperskii/

После последующего включения ошибки повторяются!

Как лечить помогите плиз!
18.08.2009, 16:54
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
[COLOR="Red"][B]- Отключите Системное восстановление.[/B][/COLOR]

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Windows Server] C:\WINDOWS\system32\windows32.exe
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\windows32.exe','');
DeleteFile('C:\WINDOWS\system32\windows32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
18.08.2009, 19:22
ghizma

Логи после выполнения скрипта
18.08.2009, 20:33
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\program files\platwine\plat2y.exe');
QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
QuarantineFile('c:\program files\platwine\plat2y.exe','');
DeleteFile('c:\program files\platwine\plat2y.exe');
DeleteFile('C:\WINDOWS\system32\windrvNT.sys');
DeleteFileMask('c:\program files\platwine','*.*',true);
DeleteFileMask('%temp%','*.*',true);
DeleteDirectory('c:\program files\platwine');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
18.08.2009, 21:51
ghizma

Platwine - банковская программа нужная поэтому строку с делет платвин убрал из скрипта, а прога попала наверно в логи потому что запускал её во время проверки АВЗ. в карантине оставил всетаки. делаю логи...

Ах да поле выполнения скрипта комп не перезагрузился исчезли все иконки осталась только картинка рабочего стола не на какие кнопки не реагировал и на контроалтделет тоже поэтому комп отрубил с ресета.
19.08.2009, 10:14
Rene-gad

[QUOTE=ghizma;451398]Platwine - банковская программа нужная поэтому [/QUOTE]Ну так карантин закачайте, плиз, как просил :) - и мы будем знать, что нужная
[QUOTE]попала наверно в логи потому что запускал её во время проверки АВЗ[/QUOTE]
Правила читаем:
[QUOTE]6. .... закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер ...[/QUOTE]
23.08.2009, 10:22
ghizma

был в отезде. поэтому так долго. высылаю GMER log и др логи и карантин.
23.08.2009, 13:26
AndreyKa

Скачайте новую версию [url]http://z-oleg.com/avz4.zip[/url]
Обновите базы AVZ.
Сделайте новые логи AVZ.

Proxy сервер 85.140.195.82:5870 вы сами прописали в настройках?
23.08.2009, 15:22
ghizma

Proxy сервер 85.140.195.82:5870 сам прописал когдато пользовался но сейчас не активно вроде!
23.08.2009, 15:45
Rene-gad

Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].

В логах ничего подозрительного. Жалобы есть?
23.08.2009, 16:16
ghizma

Вроде ничего подозрительного, кроме того что, интернет иногда при вводе в адресную строку виснет, и пока не отключу защиту касперского не загружается ничего. После прерывания защиты антивируса на 3 сек идет информация с нета потом опять включаю каспера.

А в остальном все ок. Большое вам спасибо!
24.08.2009, 16:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]