Снова eKAV

Только что вернулся с другого конца города - коллега обращался за помощью. Подцепил вирус. Заехал, посмотреть - оказался sms-вымогатель eKAV, который здесь обсуждается. Сходу я побороть его не смог. Пока только сделал лог virusinfo_syscure.zip, чтобы разобраться дома.

Симптомы такие же, как описаны в теме [URL="http://virusinfo.info/showthread.php?t=66162"]http://virusinfo.info/showthread.php?t=66162[/URL] К сожалению, приведенный в треде скрипт, похоже, мне не подойдет, т.к. там другие названия папок, в которых сидит эта зараза.

Пока у меня есть только файл virusinfo_syscure.zip. Можно ли сделать скрипт только по нему, поскольку c eKAV, как я понял, уже разобрались? К сожалению, два других требуемых файла пока приложить не могу, т.к. это не на моем компьютере. Сделать я их смогу не раньше воскресенья, когда поеду лечить компьютер еще раз.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\SYSFER.DLL','');
QuarantineFile('c:\windows\help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy:$DATA','');
QuarantineFile('C:\WINDOWS\Help\reskit.chm','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteService('Nups');
QuarantineFile('C:\WINDOWS\Help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy','');
DeleteFile('C:\WINDOWS\Help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('c:\windows\help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy:$DATA');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy', ''), ',,', ','));
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Скачайте новую версию AVZ 4.32, обновите его базы[/B]
Сделайте новые логи

Съездил сегодня еще раз. Спасибо, скрипт помог. Сразу же вернулось управление к системе, заработал антивирус. Баннер eKAV больше не появлялся. Из неожиданностей только то, что после отработки скрипта компьютер не перезагрузился. Перегрузил принудительно.

Карантин отослал. Закачал новую версию AVZ, базы обновил. Новые логи прилагаю.

Спасибо.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\semdpx.sys','');
DeleteService('semdpx');
DeleteFile('C:\WINDOWS\system32\semdpx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Извините, но выслать запрошенный карантин, увы, не получится. Дело в том, что перед выполнением скрипта я забыл отключить антивирус. Во время отработки скрипта антивирус активизировался, и до того, как компьютер перезагрузился, видимо, успел порешить файлы в карантине. После перезагрузки компьютера папка карантина оказалась пустой.

Ну, а в целом, компьютер работает нормально. eKAV больше не появляется.

Большое спасибо за помощь.

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dckp.smo printer
O20 - Winlogon Notify: semdpp - semdpp.dll (file missing)
O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)
[/code]
Больше ничего плохого.

Спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]