Вирусы

Printable View

08.03.2010, 17:05
Ars

Вирусы

Прошу помочь с компьютером:
Блокированы диспетчер задач, редактор реестра, доступ к антивирусным сайтам.
При попытке запуститься в безопасном режиме выскакиеает BSOD.
Проверяли на вирусы программой Dr.web Cureit, в обычном режиме - какие-то вирусы были найдены и удалены, но ничего не изменилось.
Новые версии Avz и Hijackthis скачтаь не могу, поэтому логи делал AVZ4 4.32.00 с базами от 07.03.2010 и HiJackThis 2.00.2
08.03.2010, 17:23
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\Wins.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
QuarantineFile('%PROGRAMFILES%\SYSTMEM.EXE','');
QuarantineFile('C:\WINDOWS\system32\quituremmab.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe,explorer.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\msconf.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\bfuvbhdi.sys','');
DeleteService('bfuvbhdi');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\tmp874.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\tmp874.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\svchost.exe');
QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\svchost.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\ryjegoz.exe');
QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\ryjegoz.exe','');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}');
DelCLSID('{18B0E5C0-4FCB-11CF-AAX5-004016608512}');
DeleteFile('c:\documents and settings\Администратор\application data\microsoft\ryjegoz.exe');
DeleteFile('c:\documents and settings\Администратор\application data\microsoft\svchost.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\tmp874.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\bfuvbhdi.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rahi');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe,explorer.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\msconf.exe');
DeleteFile('C:\WINDOWS\system32\quituremmab.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rahi');
DeleteFile('%PROGRAMFILES%\SYSTMEM.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\Wins.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE='Ars;599822']поэтому логи делал AVZ4 4.32.00 с базами от 07.03.2010 и HiJackThis 2.00.2[/QUOTE]Да нет, базы у вас от [B]21.08.2009[/B]

Сделайте новые логи [B]полиморфным[/B] AVZ (ссылка в моей подписи)
08.03.2010, 18:00
Ars

Переделал.
Avz4 скачали вчера без меня, а я как-то не подумал, что базы не вчерашние.

Карантин выслал.
08.03.2010, 20:28
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Доступ к антвирусным сайтам появился?
09.03.2010, 22:11
Ars

Скрипт выполнил.
Доступ к сайтам вчера появлялся, но сегодня опять нет. Я, правда, не знаю когда он пропал. Мог ли он пропасть при выполнении скрипта?

Карантин не выслал, т.к. файлов на карантине нет.
На компьютере стоит Nod32 4.0474.0 со свежими и обновляемыми базами.

Диспетчер задач работает, реестр доступен.

Еще раз проверил все AVZ и HiJackThis

Если надо, вот логи:
09.03.2010, 22:54
thyrex

Сделайте новые логи

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
10.03.2010, 22:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\application data\kbvka.exe - [B]Trojan-Dropper.Win32.Agent.bsvl[/B] ( AVAST4: Win32:Crypt-FYU [Drp] )[*] c:\docume~1\9335~1\locals~1\temp\tmp874.exe - [B]Backdoor.Win32.Agent.aqnh[/B] ( DrWEB: BackDoor.Siggen.12820, BitDefender: Backdoor.Agent.AANI )[/LIST][/LIST]