Вирусы

Printable View

07.04.2010, 12:34
Sumrak

Вирусы

Здравствуйте, только вчера вроде все нормально было, а сегодня на тебе :(

логи прилогаю
07.04.2010, 13:32
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp 0yAAAAAAAA','');
QuarantineFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp','');
QuarantineFile('C:\WINDOWS\system32\Drivers\jeganiy.sys','');
DeleteFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp 0yAAAAAAAA');
DeleteFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp');
DeleteFile('C:\WINDOWS\system32\Drivers\jeganiy.sys');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jeganiy');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
07.04.2010, 13:56
Sumrak

Файл сохранён как 100407_135513_virus_4bbc5681bac94.zip
Размер файла 2676641
MD5 3520076f08af8dd4076370b7b03e58a1

лог по пункту 2
07.04.2010, 14:24
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
QuarantineFile('C:\WINDOWS\system32\Drivers\jeganiy.sys','');
BC_DeleteSvc('jeganiy');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\jeganiy');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jeganiy');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
07.04.2010, 14:40
Sumrak

Файл сохранён как100407_143726_virus_4bbc606663113.zipРазмер файла606MD578283d3dd89aa1ea83ac019a7cd7e27a
07.04.2010, 15:02
AndreyKa

Через 5 минут после того как ответил, понял, что пропустил кое что и исправил скрипт, но вы уже его запустили. Повторите всё, что написано в сообщении № 4, кроме отправки карантина.
07.04.2010, 15:23
Sumrak

лог
07.04.2010, 15:35
AndreyKa

Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
07.04.2010, 15:51
Sumrak

[QUOTE]Ошибка карантина файла, попытка прямого чтения (.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\aqrpl54f.SYS)
Карантин с использованием прямого чтения - ОК
...[/QUOTE]А это нормально?

Файл сохранён как100407_154906_virusinfo_files_DELOTEHNIKI_4bbc7132262ec.zipРазмер файла13771694MD5e71c0b0b423605da6f52c71fd45a3eb4
07.04.2010, 16:01
DefesT

1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте [B]C:\WINDOWS\system32\Drivers\jeganiy.sys[/B] в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме
5. Отключите временно антивирус
6. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке [COLOR="DarkRed"]Прислать запрошенный карантин[/COLOR] вверху темы
7. Сделайте новые логи AVZ
07.04.2010, 17:39
Sumrak

Файл сохранён как 100407_173820_virusinfo_jeganiy_4bbc8accca7fc.zip
Размер файла 840198
MD5 b4a42bc64df943433e2d8e606fb08bb8

лог прилагается
07.04.2010, 17:50
AndreyKa

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis строку:
[quote]
F2 - REG:system.ini: O4 - HKCU\..\Policies\Explorer\Run: [Urgent System Check] C:\WINDOWS\system32\drwat32.exe
[/quote]
Проблема решена?
07.04.2010, 18:02
Sumrak

Точно сейчас сказать не могу, в процессе работы за компом будет видно, огромное спасибо!
07.04.2010, 21:13
thyrex

У Вас был еще и Катес. Смените [B]все[/B] пароли
08.04.2010, 21:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drwat32.exe - [B]Backdoor.Win32.Agent.arls[/B][*] \virusinfo_jeganiy.sys - [B]Rootkit.Win32.Bubnix.k[/B] ( DrWEB: Trojan.NtRootKit.6990, BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Qandr [Rtk] )[/LIST][/LIST]