Fatma.exe

Printable View

23.05.2010, 18:25
ghizma

Fatma.exe

Проблемыс системой, скрытые файлы не отображаются.
При вставлении флэшки автоматом заражается.
процес в автозагрузке ckvo.exe
23.05.2010, 20:05
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gcc.exe,
O2 - BHO: C:\WINDOWS\system32\hd783fdg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hd783fdg.dll (file missing)[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ctl_w32.sys','');
QuarantineFile('F:\vva0hc0p.cmd','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\vva0hc0p.cmd','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ckvo0.dll','');
QuarantineFile('C:\System Volume Information\_restore{39C722C8-AC5F-4B09-A4BA-671306602088}\RP202\A0141123.cmd','');
QuarantineFile('C:\System Volume Information\_restore{39C722C8-AC5F-4B09-A4BA-671306602088}\RP202\A0142698.cmd','');
QuarantineFile('C:\System Volume Information\_restore{39C722C8-AC5F-4B09-A4BA-671306602088}\RP203\A0142704.cmd','');
QuarantineFile('C:\vva0hc0p.cmd','');
QuarantineFile('C:\WINDOWS\system32\hd783fdg.dll','');
QuarantineFile('C:\WINDOWS\system32\gcc.exe','');
QuarantineFile('C:\WINDOWS\system32\ckvo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7187461423-9714777086-577658129-5048\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7187461423-9714777086-577658129-5048\nissan.exe');
DeleteFile('C:\WINDOWS\system32\ckvo.exe');
DeleteFile('C:\WINDOWS\system32\gcc.exe');
DeleteFile('C:\WINDOWS\system32\hd783fdg.dll');
DeleteFile('C:\vva0hc0p.cmd');
DeleteFile('C:\System Volume Information\_restore{39C722C8-AC5F-4B09-A4BA-671306602088}\RP203\A0142704.cmd');
DeleteFile('C:\System Volume Information\_restore{39C722C8-AC5F-4B09-A4BA-671306602088}\RP202\A0142698.cmd');
DeleteFile('C:\System Volume Information\_restore{39C722C8-AC5F-4B09-A4BA-671306602088}\RP202\A0141123.cmd');
DeleteFile('C:\WINDOWS\system32\ckvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\vva0hc0p.cmd');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\vva0hc0p.cmd');
DelBHO('{B5AC49A2-94F3-42BD-F434-2604812C897D}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kamsoft');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
23.05.2010, 20:57
ghizma

при повторном сканировании и делании логов касперский прокричал что avz.exe устанавливает ute4odky.sys в драйверы я добавил в доверительную зону
надеюсь это не вирус через АВЗ загрузился?
23.05.2010, 21:19
thyrex

Антивирус нужно вообще отключать. Срабатывание было на драйвер AVZ
23.05.2010, 21:43
ghizma

вот логи
23.05.2010, 22:23
thyrex

Отключите и заново включите восстановление системы

Что сейчас с проблемой?
23.05.2010, 22:34
ghizma

Вроде все в порядке! пока не наблюдается ничего подозрительного. Спасибо огромное и удачи!
24.05.2010, 22:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7187461423-9714777086-577658129-5048\nissan.exe - [B]Trojan.Win32.Agent.dgvp[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.3020422, AVAST4: Win32:Hktr [Drp] )[*] c:\system volume information\_restore{39c722c8-ac5f-4b09-a4ba-671306602088}\rp202\a0141123.cmd - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[*] c:\system volume information\_restore{39c722c8-ac5f-4b09-a4ba-671306602088}\rp202\a0142698.cmd - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[*] c:\system volume information\_restore{39c722c8-ac5f-4b09-a4ba-671306602088}\rp203\a0142704.cmd - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[*] c:\vva0hc0p.cmd - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[*] c:\windows\downloaded program files\nocs.dll - [B]not-a-virus:AdWare.Win32.NocsBar.h[/B] ( DrWEB: Adware.LeadBar.origin )[*] c:\windows\system32\ckvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[*] c:\windows\system32\ckvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMP trojan, AVAST4: Win32:Monga [Trj] )[*] e:\vva0hc0p.cmd - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[*] f:\vva0hc0p.cmd - [B]Trojan-GameThief.Win32.OnLineGames.tmvc[/B] ( DrWEB: Trojan.Nsanti.Packed, BitDefender: Packer.Malware.NSAnti.1, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Monga [Trj] )[/LIST][/LIST]