iMaxDowloader terrorist

Printable View

14.12.2009, 15:36
Kornulio

iMaxDowloader terrorist

Добрый день уважаемые спецы!
Пол дня лечу машину от imax-download-manager, перепробованы следующие средства:
- загрузка с Др.Веб LiveCD, сканирование, ручное убиение длл-ок (вычислял по размеру), очистка темпов
- безопасный режим Windows, сканирование CureIt, AvpTool
- обычный режим, опять сканирование АВПтулом, AVZ - последний разблокировал реестр и диспетчер задач
После всех процедур AVZ все еще показывает подозрительные службы и перехват функций, посему обращаюсь к вам :)
Осталось ли еще что-то от вируса в системе?
14.12.2009, 15:59
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\vyzpx.dll','');
QuarantineFile('C:\WINDOWS\system32\8C60FC9A.EXE','');
DeleteFile('C:\WINDOWS\system32\vyzpx.dll');
DeleteFile('C:\WINDOWS\system32\8C60FC9A.EXE');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('runtime2');
BC_DeleteSvc('D2917AE7');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=63629[/url]).
Сделайте новые логи.
14.12.2009, 16:28
Kornulio

Вложений: 1

Спасибо за быстрый ответ! :clapping:
Файл карантина выслал, свежие логи прикрепляю!
14.12.2009, 16:41
Bratez

А что за Fast Cleaner у вас постоянно запущен?
14.12.2009, 16:56
Kornulio

Упс, извините )
это похоже печальное наследие предыдущих владельцев (машина не моя), старая программа для очистки диска "одной кнопкой". Хозяин машины ее не использовал уже как года два. Удалил, формирую логи
14.12.2009, 17:09
Kornulio

Свежий лог
14.12.2009, 17:13
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: IE SecPlugin - {F5BDC469-1EC5-4193-824B-2E209993D183} - C:\WINDOWS\system32\bhoSearchSpy.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\vyzpx.dll
[/code]
Перезагрузите компьютер и повторите лог HijackThis.
14.12.2009, 17:23
Kornulio

Обновленный хайджек
14.12.2009, 17:31
Bratez

Чисто. Что с проблемами?
14.12.2009, 17:38
Kornulio

Спасиибоо!!! Все отлично, компьютер снова гуглит и радуется жизни! вроде никаких признаков зловредов больше нету!!! благодаря вам я думаю интернет когда-нибудь все-таки очистится от вирусов! сейчас осталось антивирус залить и все тип-топ )))
Спасибо еще раз :)
15.12.2009, 17:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]