Worm.Win32.AutoRun.ews

Printable View

04.12.2009, 12:31
a2618

Worm.Win32.AutoRun.ews

И снова сдрасте =) я тут частый гость =)

В названии темы все отражено, единственное что еще могу добавить это то что при попытке загрузки в безопасном режиме кидает в BSoD 50 то же самое происходит при попытке установить любой антивирус, при попытке зайти на какойнить антивирусный ресурс браузер закрываеться.

Получился вот такой скрипт, я бы выполнил этот скрипт, но без консультации профи как-то неохото мало-ли напутал чего.

[PHP]begin
BC_DeleteFile('C:\sdxj.exe');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0002218.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0002461.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0003501.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004521.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004588.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004611.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0004644.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0006653.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0006719.com');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0016803.exe');
BC_DeleteFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP25\A0016827.pif');
ExecuteSysClean;
RebootWindows(true);
end.[/PHP]

p.s. Я тут так часто, потому что помогаю всем друзьям и знакомым, которые то-ли слишком глупы что бы прочитать и все сделать самим, то-ли очень ленивы =)

Заранее спс за помощ.
04.12.2009, 12:49
DefesT

0)Здравствуйте
1)Обновите базы AVZ.
2)[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
3)Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\all users\application data\admin\svchost.exe');
QuarantineFile('C:\System Volume Information\_restore{559850B4-15AC-44C5-9069-D5F1D13F785C}\RP24\A0002218.com','');
QuarantineFile('C:\sdxj.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ejsmqj.sys','');
QuarantineFile('c:\documents and settings\all users\application data\admin\svchost.exe','');
QuarantineFile('c:\windows\system32\acs.exe','');
SetServiceStart('asc3360pr', 4);
DeleteService('asc3360pr');
DeleteFile('c:\documents and settings\all users\application data\admin\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ejsmqj.sys');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\sdxj.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','avpa');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Lan_service');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
4)Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы.
5)В логах виден [B]Sality[/B]. Пролечитесь от файловый вирусов - [url]http://virusinfo.info/showthread.php?t=15927[/url]
6)После всего этого сделайте новые логи по правилам
04.12.2009, 15:09
a2618

Карантин залил, логи будут попозже лечимся =)

Результат загрузкиФайл сохранён как 091204_150755_2009-12-04_4b18fb9bd88b3.zip
Размер файла 7250903
MD5 091c97d89bd626a8c7f12a915afc6cf6

Файл закачан, спасибо!
04.12.2009, 17:33
a2618

Вроде пролечились
Вот новые логи
04.12.2009, 17:47
snifer67

пролечитесь [url]http://virusinfo.info/showthread.php?t=15927[/url] , После всего этого сделайте новые логи по правилам.
04.12.2009, 17:56
a2618

последние логи сделаны после лечения

лечил с помощью Dr.Web LiveCD

Тоесть мне надо скачать какойто другой антивирь и им еще пролечить я правельно вас понял?
04.12.2009, 17:59
snifer67

[quote]Тоесть мне надо скачать какойто другой антивирь и им еще пролечить я правельно вас понял?[/quote]
Это не антивирус, а лечещая утилита, записывать обязательно на другом ПК.
04.12.2009, 18:00
a2618

записывал на другом компе на пораженном прогонял в сейф мод
04.12.2009, 18:06
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('asc3360pr');
DeleteFile('C:\WINDOWS\system32\drivers\ejsmqj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

делайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме
04.12.2009, 18:46
a2618

Все сделал
04.12.2009, 19:29
snifer67

Чисто.

Установите SP3 (может потребоваться активация) + все новые заплатки
04.12.2009, 19:38
a2618

странно при попытке зайти на какой нибудь антивирусный форум браузер закрывается даже если в гугле набираеш ваш ресур и как только гугл показывает найденые варианты браузер сразу закрывается, что это может быть?
04.12.2009, 19:48
pig

Любой браузер?
08.12.2009, 14:22
a2618

Нет не любой а только ИЕ, но эта проблема уже решена форматированием всех дисков т.к. ничего особо важного и нужного на компе не было, тему можно закрывать.

Огромное спасибо вашему ресурсу за оказаную помощь.
09.12.2009, 14:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]71[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\admin\svchost.exe - [B]Trojan.Win32.Inject.qzh[/B] ( DrWEB: Trojan.KeyLogger.3614, BitDefender: Trojan.Generic.1622243, AVAST4: Win32:Trojan-gen )[*] c:\program files\messenger\msmsgs.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\microsoft office\office10\osa.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\msn toolbar suite\msntbup.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\toshiba\toscdspd\toscdspd.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\toshiba\touch and launch\padexe.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\toshiba\windows utilities\hotkey.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\toshiba\программа toshiba zooming utility\smoothview.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\program files\электрик\cupro.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\sdxj.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp24\a0002218.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp24\a0002461.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp24\a0003501.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004521.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004588.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004611.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0004644.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0006653.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0006719.com - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0016803.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\system volume information\_restore{559850b4-15ac-44c5-9069-d5f1d13f785c}\rp25\a0016827.pif - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[*] c:\windows\system32\avpo.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:OnLineGames-BDA [Trj] )[*] c:\windows\system32\tpsmain.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )[/LIST][/LIST]