Вирус! Выручайте!

Printable View

26.11.2009, 06:15
ДИМАС

Вирус! Выручайте!

поймал у меня бухгалтер вирус. неизвестно как и откуда. признаваться где была не хочет. начал было лечение, антивиры не видят его. погуглил и наткнулся на 2 подобных случая у вас. попробовал оба метода:
1. [url]http://virusinfo.info/showthread.php?t=57724[/url]
2. [url]http://virusinfo.info/showthread.php?t=61149[/url]
ни один не помог. выручайте меня.
логи прикладываю.
26.11.2009, 06:56
Ingener

1) Отключите восстановление системы
2) Выполните скрит в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\photo_id.exe');
TerminateProcessByName('c:\documents and settings\Бухгалтер1\photo_id.exe');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[1].exe','');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[11.exe','');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[10.exe','');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\Главное меню\Программы\Автозагрузка\nntsys32.exe','');
DeleteService('mpr_freader');
QuarantineFile('C:\DOCUME~1\14DAC~1\LOCALS~1\Temp\RarSFX0\mpr_freader.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tugts8yz.SYS','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('c:\windows\system32\photo_id.exe','');
QuarantineFile('c:\documents and settings\Бухгалтер1\photo_id.exe','');
DeleteFile('c:\documents and settings\Бухгалтер1\photo_id.exe');
DeleteFile('c:\windows\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\tugts8yz.SYS');
DeleteFile('C:\DOCUME~1\14DAC~1\LOCALS~1\Temp\RarSFX0\mpr_freader.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Бухгалтер1\Главное меню\Программы\Автозагрузка\nntsys32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[10.exe');
DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[11.exe');
DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[1].exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
4) Сделайте [B]все[/B] логи по правилам:
- virusinfo_syscure.zip
- virusinfo_syscheck.zip
- hijackthis.log
26.11.2009, 07:34
ДИМАС

файл отправлен:
Файл сохранён как 091126_073053_virus_4b0e047d6881f.zip
Размер файла 1142761
MD5 75aa5cf7167c2e349d1cbaee84b0b61d

табличка исчезла!
интернет работает!
26.11.2009, 07:40
Ingener

Карантин получили.

Логи для контроля всё же желательно повторите.
26.11.2009, 08:04
ДИМАС

вот логи
26.11.2009, 08:22
Ingener

В логах чисто.

Осталось почистить папку System Volume Information (Восстановления системы):
Выполните скрит в AVZ:
[CODE]begin
DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073987.exe');
DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073988.exe');
DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073989.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(false);
end.[/CODE]
Компьютер перезагрузится.

Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: [url]http://virusinfo.info/showthread.php?t=30339[/url]
26.11.2009, 12:40
ДИМАС

спасибо! все работает!
27.11.2009, 12:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[1].exe - [B]Trojan.Win32.Autoit.xp[/B] ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )[*] c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[10.exe - [B]Trojan.Win32.Autoit.xp[/B] ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )[*] c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[11.exe - [B]Trojan.Win32.Autoit.xp[/B] ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )[*] c:\documents and settings\бухгалтер1\photo_id.exe - [B]Trojan-Downloader.Win32.Mutant.gsl[/B] ( DrWEB: Trojan.Click.29425 )[*] c:\documents and settings\бухгалтер1\главное меню\программы\автозагрузка\nntsys32.exe - [B]Backdoor.Win32.Bredolab.bcj[/B] ( DrWEB: Trojan.Botnetlog.11, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\drivers\tugts8yz.sys - [B]Trojan-Ransom.Win32.Agent.hb[/B] ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )[*] c:\windows\system32\photo_id.exe - [B]Trojan-Downloader.Win32.Mutant.gsl[/B] ( DrWEB: Trojan.Click.29425 )[/LIST][/LIST]