Поевление нового файла

Printable View

09.02.2010, 20:23
6matko

Поевление нового файла

Вот сидит у меня бацЫла в диске C:/[B]r1g8i9p1d5q7.exe[/B]

Вобщем, проблема не токо в этом...
На мой взгляд [B]что-то[/B]
Нарушает быстродействие и работаспособность ПК.

Вот файлы(извеняюсь что немогу прикрепить, что-то блокирует доступ к вашему и другим сайтам, в которых я могбы найти помощь, используй прокси =( )

[B][URL]http://yy.lv/download.php?f=106161[/URL][/B]

Ещё раз извеняюсь и надеюсь на Вашу отзывчивость и понимание.
09.02.2010, 21:38
Шапельский Александр

Пофиксить в Hijack следующие строки:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe rwkv.buo djkfb
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\5ITeyGG.exe,C:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\awBm2cJ.exe,[/CODE]
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('r1g8i9p1d5q7.exe','');
QuarantineFile('%system32%\awBm2cJ.exe','');
QuarantineFile('%system32%\5ITeyGG.exe','');
QuarantineFile('C:\WINDOWS\system32\rwkv.buo','');
QuarantineFile('C:\WINDOWS\system32\drivers\anftdird.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Cbfgm.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\system32\drivers\cbfgm.exe','');
TerminateProcessByName('c:\windows\system32\drivers\cbfgm.exe');
DeleteFile('c:\windows\system32\drivers\cbfgm.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\drivers\Cbfgm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\rwkv.buo');
DeleteFile('%system32%\5ITeyGG.exe');
DeleteFile('%system32%\awBm2cJ.exe');
DeleteFile('r1g8i9p1d5q7.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(13);
Executerepair(16);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
09.02.2010, 23:24
6matko

Надеюсь зделаю всё правильно

[B][url]http://yy.lv/download.php?f=106251[/url][/B]

Если что, повтарю всё завтро =|
09.02.2010, 23:35
Шапельский Александр

Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ZFMSYS.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ZFMSYS.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).

Обновите базы АВЗ!

Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
10.02.2010, 14:09
6matko

К сожелению и с обновлением проблемы =(
Возможно это изза того, что у меня сменился интернет и соответственно IP адресс тоже сменился, а мой новый IP адресс у вас заблокирован...

Вобщем вот файлы:
[B][url]http://yy.lv/download.php?f=106322[/url][/B]
10.02.2010, 14:30
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('FCI');
SetServiceStart('FCI', 4);
DeleteService('FCI');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Просканируйте ПК Куреитом (др.Веб) и AVPTool.

Затем сделайте логи.
27.02.2010, 16:20
6matko

Очень извеняюсь, что немог раньче этого выполнить, просто дела...

[url]http://yy.lv/download.php?f=110417[/url]

Вот то что нужно, просканировал с AVP
27.02.2010, 22:56
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('FCI');
SetServiceStart('FCI', 4);
DeleteService('FCI');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
TerminateProcessByName('c:\windows\system32\nvidiat.exe');
QuarantineFile('c:\windows\system32\nvidiat.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('c:\windows\system32\nvidiat.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_ImportAll;
BC_DeleteSvc('FCI');
ExecuteSysClean;
Executerepair(13);
Executerepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
P.S. У Вас установлены следующие антивирусы--ESET NOD32 и Antivirus Zillya. Рекомендую оставить ESET NOD32, а Antivirus Zillya удалите.
28.02.2010, 13:54
6matko

[url]http://yy.lv/download.php?f=110667[/url]

P.S. я вроде как удалил уже давно Antivirus Zillya, незнаю почему он ещё виден, не подскажете пожалуйста, как его полностю удалить ?
28.02.2010, 23:36
Шапельский Александр

Пофиксить в Hijack следующие строки:
[CODE]O4 - HKLM\..\RunServices: [nvidiat] nvidiat.exe
O4 - HKCU\..\Run: [nvidiat] nvidiat.exe
O4 - HKCU\..\Run: [Zillya Antivirus] C:\Program Files\Zillya Antivirus\zillya.exe /min[/CODE]
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFilemask('C:\Program Files\Zillya Antivirus','*.*',true);
DeleteDirectory('C:\Program Files\Zillya Antivirus');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zillya Antivirus');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте новый лог virusinfo_syscheck.zip, лог Hijack и лог MBAM
01.03.2010, 21:37
6matko

[ATTACH]220677[/ATTACH]
[ATTACH]220678[/ATTACH]
[ATTACH]220679[/ATTACH]
01.03.2010, 22:00
Шапельский Александр

Удалите в MBAM
[CODE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\FlySky (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено файлов:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
[/CODE]Сделайте лог MBAM
02.03.2010, 16:53
6matko

[ATTACH]220755[/ATTACH]
02.03.2010, 20:23
Шапельский Александр

В логе чисто, что с проблемой?
[QUOTE]Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11[/QUOTE] Рекомендую обновить, +установить последние обновления на ОС.
03.03.2010, 14:55
6matko

спасибо огромное за помощь, вроде всё прошло и даже на Ваш сайт пускает, а то приходилось использовать прокси =(

Ещё раз, оргомное спасибо!
04.03.2010, 14:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\userini.exe - [B]Packed.Win32.Krap.ai[/B] ( DrWEB: Trojan.Spambot.7492, BitDefender: Trojan.Generic.3013083, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:FakeAlert-GV [Trj] )[/LIST][/LIST]