Помогите люди добрые :(

Printable View

05.06.2010, 23:35
Nilix

Помогите люди добрые :(

Здравствуйте знатоки virusinfo! Очень нуждаюсь в вашей помощи:(, всё началось после того как я скачал себе один ворд файл, он у меня еле еле открылся, с помигиванием екрана и временной пропажей панельки "Пуск", после этого все остальные программы работающие с интернетом стали работать некорректно, подвисали на пару секунд после моего запроса, запускал проверку Кур-ита, но он внезапно закрылся когда проверилась половина файлов, также заметил что был модифицирован файл хостс (по дате изменения смотрю), и мышка себя очень странно ведёт (иногда просто "уползает" влево:), но это не в мышке проблема 100%) вообщем, удалил я этот злобный файл, но вот его продукты жизнедеятельности всё ещё потихоньку кушают мой компьютер изнутри:(
З.Ы логи прилагаются
05.06.2010, 23:53
Nilix

Ах да, забыл прикрепить лог syscheck, вот он
06.06.2010, 00:12
Nilix

up, в папке мои документы появилось 5 странных файлов, с именем LaTeX1 и с расширениями bbl, dvi, tex, aux, и log. причём имена у них синие как у системных файлов :-/
06.06.2010, 00:22
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DelBHO('{c98e13e8-a6a3-b4c3-6831-145d8ec229b1}');
QuarantineFile('C:\WINDOWS\system32\Yq8p3Nx-oq843eq.dll','');
QuarantineFile('C:\Temp\YwUzr6Y9.sys','');
DeleteFile('C:\Temp\YwUzr6Y9.sys');
DeleteFile('C:\WINDOWS\system32\Yq8p3Nx-oq843eq.dll');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
06.06.2010, 01:41
Nilix

Вложений: 3

вот логи
06.06.2010, 02:22
Nilix

а карантин будет завтра, всем заранее спасибо
06.06.2010, 11:36
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msnmsg.exe','');
DeleteFile('C:\WINDOWS\system32\msnmsg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','XPRTRFVB');
QuarantineFile('C:\WINDOWS\system32\SVCShell.exe','');
DeleteFile('C:\WINDOWS\system32\SVCShell.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','FLMG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]
Сделайте новые логи
06.06.2010, 12:12
Nilix

[QUOTE=thyrex;650342]Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msnmsg.exe','');
DeleteFile('C:\WINDOWS\system32\msnmsg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','XPRTRFVB');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]
Сделайте новые логи[/QUOTE]
эм, а на MSN этот скрипт не повлияет?
06.06.2010, 12:25
thyrex

НЕТ, это зверь

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Policies\Explorer\Run: [FLMG] C:\WINDOWS\system32\SVCShell.exe[/CODE]

Скрипт в сообщении №7 был дополнен. Обратите на это внимание
06.06.2010, 20:26
Nilix

1 архив:
Файл сохранён как 100606_195844_virus_4c0bc5b4b3469.zip
Размер файла 1084094
MD5 0b9bacec7b3766751c7a0a0de986c973
2 архив:
Файл сохранён как 100606_195937_virus2_4c0bc5e9e1a47.zip
Размер файла 620837
MD5 65604ac5318ea8f1fd58bd908791dae1
-
-
-
Вроде проблема пропала... вот логи
06.06.2010, 21:14
thyrex

Чисто
08.06.2010, 19:48
Nilix

большое спасибо, мой комп даже быстрее работать стал))
09.06.2010, 19:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Worm.Win32.AutoIt.wm[/B] ( DrWEB: archive: archive: Win32.HLLW.Autoruner.based )[*] c:\windows\system32\svcshell.exe - [B]Trojan.Win32.Autoit.aeh[/B] ( DrWEB: Adware.Siggen.2945, BitDefender: Backdoor.Generic.359199, AVAST4: Win32:AutoIt-IH [Trj] )[*] c:\windows\system32\yq8p3nx-oq843eq.dll - [B]not-a-virus:AdWare.Win32.EZula.btt[/B] ( BitDefender: Gen:Variant.LoudMo.2 )[/LIST][/LIST]