Есть подозрения на вирус. Сайт vusinfo.info не открывается.

Printable View

31.05.2010, 21:13
alextmp

Есть подозрения на вирус. Сайт vusinfo.info не открывается.

Есть подозрения на вирус. Сайт vusinfo.info не открывается.
31.05.2010, 21:23
ARMA9000

Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\894e79e8.exe,\\?\globalroot\systemroot\system32\Ghv72oj.exe,\\?\globalroot\systemroot\system32\DUqQsGl.exe,
[/CODE]

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4027_x-ww_e69378d0\MSVCR80.dll','');
QuarantineFile('C:\Documents and Settings\Alex\Application Data\Dropbox\bin\DropboxExt.13.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe','');
QuarantineFile('C:\WINDOWS\system32\894e79e8.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe','');
DeleteFile('C:\WINDOWS\system32\894e79e8.exe');
DeleteFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
31.05.2010, 22:14
alextmp

Скрипты выполнил, карантин и логи добавил.

Немного о симптомах:
Windows загружается через раз, точнее не каждый раз запускается explorer. Долго стартует, до заражения работал несколько шустрее. Windows не загружается в режиме safe mode (перезапускается), зато загружается в режиме Safe mode with network connections. В папке C:\windows\system32 много лишних exe-файлов (удалил).
01.06.2010, 08:31
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteFile('C:\WINDOWS\system32\894e79e8.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe');
DeleteFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\894e79e8.exe');
BC_DeleteFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe');
BC_DeleteFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи virusinfo_syscheck.zip и hijackthis.log;
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
01.06.2010, 23:56
alextmp

Вложений: 4

Скрипт выполнил, логи прилагаются.
02.06.2010, 01:15
polword

- [B]virusinfo_cure.zip[/B] - удалите из темы

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

1. - удалите в MBAM
[CODE]
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
[/CODE]

2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\vfp8rrus.dll ','');
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- логи сделанные с LiveCd бесполезны
02.06.2010, 09:25
alextmp

Выполнил скрипт, карантин и логи приложил.
02.06.2010, 20:20
polword

поищите файл C:\WINDOWS\Debug\UserMode\explorer.exe если найдете - пришлите его запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
02.06.2010, 21:07
alextmp

К сожалению explorer.exe прислать не смогу. Я его случайно удалил при помощи MBAM (забыл снять галочку).
02.06.2010, 22:01
polword

больше ничего подозрительного нет
02.06.2010, 22:07
alextmp

Ок, сейчас попробую загрузиться в "обычном" режиме.
03.06.2010, 07:09
polword

получилось?
04.06.2010, 07:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\894e79e8.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \\?\globalroot\systemroot\system32\duqqsgl.exe - [B]Trojan-Dropper.Win32.Shiz.dv[/B] ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4125630, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]