Помогите дочистить "хвосты"

Printable View

08.09.2009, 15:09
Сергей Ю.

Помогите дочистить "хвосты"

Сканер ДрВеб пролечил/удалил что мог. Есть подозрение что не все.
Поглядите плиз логи
08.09.2009, 15:21
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('!brastk.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys','');
QuarantineFile('c:\windows\system32\stacsv.exe','');
QuarantineFile('c:\documents and settings\Пользователь\application data\sdra64.exe','');
QuarantineFile('c:\program files\usb disk win98 driver\res.exe','');
QuarantineFile('karna.dat','');
QuarantineFile('c:\windows\system32\karna.dat','');
QuarantineFile('c:\windows\karna.dat','');
DeleteFile('karna.dat');
DeleteFile('c:\windows\system32\karna.dat');
DeleteFile('c:\windows\karna.dat');
DeleteFile('c:\documents and settings\\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\application data\sdra64.exe');
DeleteFile('!brastk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','brastk');
DeleteFile('csrcs.exe');
ExecuteWizard('TSW', 2, 2, true);
SetAVZPMStatus(True);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Повторить логи
09.09.2009, 10:08
Сергей Ю.

Карантин прикрепил.
Новые логи:
09.09.2009, 10:16
PavelA

Восстановление системы: включено -- не отключено, почему?

Лечится так можно долго.
09.09.2009, 10:20
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('karna.dat','');
QuarantineFile('C:\Program Files\USB Disk Win98 Driver\Res.EXE','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\sdra64.exe','');
DeleteService('kbd');
QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys','');
QuarantineFile('c:\documents and settings\Пользователь\application data\sdra64.exe','');
QuarantineFile('c:\program files\usb disk win98 driver\res.exe','');
DeleteFile('c:\program files\usb disk win98 driver\res.exe');
DeleteFile('c:\documents and settings\Пользователь\application data\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\sdra64.exe');
DeleteFile('C:\Program Files\USB Disk Win98 Driver\Res.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','USB Storage Toolbox');
DeleteFile('karna.dat');
DeleteFile('C:\WINDOWS\system32\karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] ).
Hекоторых записей может не оказаться - это нормально.
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Documents and Settings\Пользователь\Application Data\sdra64.exe,
O20 - AppInit_DLLs: karna.dat
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)[/CODE]

3.Повторить логи
09.09.2009, 13:37
Сергей Ю.

Восстановление отключил. Сорри что сразу не сделал
09.09.2009, 13:38
Сергей Ю.

логи готовы
09.09.2009, 13:48
PavelA

Вот теперь удалилось.
09.09.2009, 20:57
Сергей Ю.

Т.е. теперь все? Больше "гадостей" нет?
Чего хоть было чтоб понять как избежать в будущем, а то товарищ-владелец ПК серфит по инету много, где попало. Учетка ограничена (пользователь). Стоит ДрВеб офицальный и регулярно-обновляемый.
09.09.2009, 21:00
pig

Заплатки регулярно ставятся?
10.09.2009, 09:07
Сергей Ю.

Вот чего нет того нет :(
Пошел хоть СП3 накачу.
Всем спасибо :)!
10.09.2009, 23:29
pig

SP3 уже мало.
11.09.2009, 23:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\пользователь\application data\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.zee[/B] ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Gen:Trojan.Heur.Zbot.AmZ@b0fkVxj, AVAST4: Win32:Fasec [Trj] )[*] c:\program files\usb disk win98 driver\res.exe - [B]Trojan.Win32.Patched.bz[/B] ( DrWEB: Win32.Kibik, BitDefender: Trojan.Generic.436948, NOD32: Win32/Patched.AG virus, AVAST4: Win32:Patched-GS [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]