вирус Worm.Win32.FlayStudio

Printable View

11.12.2009, 17:04
tim--ka

вирус Worm.Win32.FlayStudio

Помогите вылечить вирус Worm.Win32.FlayStudio.
ранее тема создавалась но ее закрыли [url]http://virusinfo.info/showthread.php?t=58964[/url]
во вложение архив с карантином.
[COLOR="Red"][moderated: карантин в тему прикреплять нельзя!][/COLOR]
11.12.2009, 17:07
Bratez

Сделайте логи в соответствии с правилами:
[url]http://virusinfo.info/showthread.php?t=1235[/url]
14.12.2009, 14:31
tim--ka

перезалил карантин, создал по правилам
14.12.2009, 19:38
pig

Логи будут?
15.12.2009, 22:36
tim--ka

Карантин это не логи?
15.12.2009, 23:21
pig

Нет. Агнцы отдельно, козлища отдельно.
16.12.2009, 00:02
tim--ka

сразу бы сказали што карантин не нужен, и то што в той теме прописано делать не надо. а начать все самого начала.
короче не важно. сделал логи он и во вложении.
извиняюсь за недопонимание.
16.12.2009, 04:15
Bratez

Подключите свои съемные носители (флэшка, плеер и т.п.) и оставьте подключенными до конца лечения.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\559D4D\64E95A.EXE','');
QuarantineFile('C:\WINDOWS\system32\C6625A\ZC-8E63B.EXE','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\cnvpe.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\dp1.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\HtmlView.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\internet.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\krnln.fnr');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\RegEx.fnr');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\eAPI.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\shell.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\spec.fne');
DeleteFile('C:\WINDOWS\system32\C6625A\dp1.fne');
DeleteFile('C:\WINDOWS\system32\C6625A\eAPI.fne');
DeleteFile('C:\WINDOWS\system32\C6625A\krnln.fnr');
DeleteFile('C:\WINDOWS\system32\C6625A\shell.fne');
DeleteFile('C:\WINDOWS\system32\C6625A\ZC-8E63B.EXE');
DeleteFile('C:\WINDOWS\system32\559D4D\64E95A.EXE');
DeleteFile('C:\WINDOWS\innounp.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=63319[/url]).

[b]Обновите базы AVZ[/b] и сделайте новые логи.
16.12.2009, 18:21
tim--ka

логи во вложении, карантин по ссылке в шапке
16.12.2009, 18:24
snifer67

Чисто.Что с проблемой ?

Установите Internet Explorer 8
16.12.2009, 23:11
tim--ka

проблема та же.
но еще не обновлял IE, это обязательно?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 47 минут[/I][/B][/color][/size]

так же еще вылезает окно при загрузке, в котором написано непонятными символами. единственное что можно разобрать это: [url]http://dywt.com.cn[/url].
предлагает нажать ОК, нажимаешь окно исчезает и вроде как ничего не меняется. можно как-то убрать это окно?
17.12.2009, 03:08
Bratez

[QUOTE]Внимание !!! [COLOR="Red"]База поcледний раз обновлялась 21.08.2009 [/COLOR]необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
Я же просил обновить!
Логи делались с подключенной флэшкой?
Обновите базы AVZ и сделайте заново.

Уточните, в чем проявляется
[QUOTE]проблема та же.[/QUOTE]
17.12.2009, 14:36
tim--ka

новые логи во вложении.
да с флешками.
проявления такие:
постоянно вылазит ошибка о котором отписывал в предыдущем посте.
открываеться окно в експлоере на какойто китайский сайт с иероглифами
и нод постоянно ругаеться по этой ошибке Worm.Win32.FlayStudio, чтото изолирует и удаляет.
17.12.2009, 14:39
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\dp1.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\eAPI.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\HtmlView.fne');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\krnln.fnr');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\RegEx.fnr');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\shell.fne');
DeleteFile('C:\WINDOWS\system32\559D4D\64E95A.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
17.12.2009, 16:48
tim--ka

сделано.
17.12.2009, 16:58
Bratez

Чисто. Надеюсь, проблема решена?
Обновите базы своему Ноду, а то он что-то мышей не ловит ;)
20.12.2009, 21:20
tim--ka

Вроде как проблема решена, надеюсь не повторится.
нод поставил наконец то четвертый, надеюсь он будет более полезен.
Спасибо огромное Вам!!
21.12.2009, 21:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\c6625a\zc-8e63b.exe - [B]not-a-virus:AdWare.Win32.FlyStudio.l[/B][*] c:\windows\system32\559d4d\64e95a.exe - [B]Trojan-Downloader.Win32.FlyStudio.gz[/B] ( DrWEB: Win32.HLLW.Autoruner.4360, BitDefender: Dropped:Trojan.Generic.1619522 )[/LIST][/LIST]