internet security

Printable View

17.01.2010, 12:18
lus

internet security

здравствуйте, товарищи!

проверка Virus remooval tool проведена в безопасном режиме. хотелось бы теперь скриптом устранить проблему до конца.

заранее благодарю за помощь
17.01.2010, 12:31
Шапельский Александр

Здравствуйте!
Пофиксить в Hijack следующую строку:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Выполнить скрипт
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\7606~1\LOCALS~1\Temp\catchme.sys','');
DeleteService('catchme');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\DOCUME~1\7606~1\LOCALS~1\Temp\catchme.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
17.01.2010, 12:49
lus

после выполнения скрипта и фикса Ф2 при попытке запустить AVZ комп идет в ребут.
17.01.2010, 12:54
Шапельский Александр

Лог Hijack сможете сделать?
17.01.2010, 13:52
lus

после нескольких ребутов опять появилась табличка с вымогательством. сгенерированный код подошеел, и после этого запустились опять все проги. карантин выслала. прикрепляю 1-3 (только такой момент: файлы с логами avz при новом анализе замещаются? в общем, прикрепляю автоматически сформированные архивы из папки log/)
17.01.2010, 14:06
Шапельский Александр

Сделайте лог MBAM
17.01.2010, 16:00
lus

может, приложить отчет virus remooval tool? правда, не знаю, в каком виде
17.01.2010, 16:27
Шапельский Александр

Удалите в MBAM
[QUOTE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wvueuay.dll (Trojan.Vundo) -> No action taken.
[/QUOTE] Сделайте лог MBAM
17.01.2010, 18:24
lus

Вложений: 1

.
17.01.2010, 18:34
Шапельский Александр

В логе чисто, что с проблемой?
17.01.2010, 19:23
lus

[QUOTE=shapel;563098]В логе чисто, что с проблемой?[/QUOTE]
да вот же, для верности прошлась в безопасном режиме сдфиксом - не обнаружено ничего.
сейчас все работает нормально. стоит ли надеяться, что вирус убит?
17.01.2010, 19:34
Шапельский Александр

[QUOTE='lus;563138']сейчас все работает нормально. стоит ли надеяться, что вирус убит?[/QUOTE]
Понаблюдайте за системой, если возникнут проблемы, тогда сделайте комплект логов и в "Помогите"
18.01.2010, 19:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Downloader.Win32.Piker.bra[/B] ( DrWEB: Trojan.Packed.19647, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]