День добрый 2 раз ПК заражается троянами. В процессе висит Userini в 2-3 экземплярах..
Просьба помочь вылечить
1-й раз тема была вот здесь:
[url]http://virusinfo.info/showthread.php?p=627079#post627079[/url]
Логи привожу.
Спасибо за помощь.
Printable View
День добрый 2 раз ПК заражается троянами. В процессе висит Userini в 2-3 экземплярах..
Просьба помочь вылечить
1-й раз тема была вот здесь:
[url]http://virusinfo.info/showthread.php?p=627079#post627079[/url]
Логи привожу.
Спасибо за помощь.
Здравствуйте.
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys','');
QuarantineFile('C:\WINDOWS\system32\dllcache\cdrom.sys','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Мои документы\proshow.exe','');
QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Application Data\gkewzr.exe','');
QuarantineFile('C:\DOCUME~1\AD22~1\LOCALS~1\Temp\nxeljshtrhtrj.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\kwflowerq.sys','');
QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Мои документы\ScsiAccess.exe','');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\AD22~1\LOCALS~1\Temp\nxeljshtrhtrj.sys');
DeleteFile('C:\Documents and Settings\ЖЕНЯиДИМА\Application Data\gkewzr.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteService('tuhlti');
DeleteService('protect');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
все сделал как написали.
логи привожу.
Карантин:
Файл сохранён как100524_010019_virus_4bf99763888df.zip
Размер файла1042471
MD5 0fc80735312eef6659597343ed6899a8
- Замените файл C:\WINDOWS\system32\dllcache\cdrom.sys и C:\WINDOWS\system32\drivers\cdrom.sys на чистый из дистрибутива.
Как заменить файл можно посмотреть [URL="http://virusinfo.info/showthread.php?t=51654"]тут[/URL]
- Сделайте повторный лог virusinfo_syscheck.zip;
Заменил.
Логи привожу
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\ad22~1\locals~1\temp\nxeljshtrhtrj.sys - [B]Rootkit.Win32.Agent.bfwx[/B] ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.336464, NOD32: Win32/Rootkit.Agent.NLF trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415256.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415257.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415264.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415265.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0416264.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0416265.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp402\a0416276.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp402\a0416277.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.eub[/B] ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DG [Trj] )[*] c:\windows\system32\dllcache\cdrom.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\windows\system32\drivers\cdrom.sys - [B]Trojan.Win32.Inject.aoxd[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\windows\system32\drivers\kwflowerq.sys - [B]Backdoor.Win32.Agent.avbz[/B] ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.euc[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.3913877, AVAST4: Win32:Bredolab-DG [Trj] )[/LIST][/LIST]