Вируса грузит систему

Printable View

25.06.2010, 17:44
atz

Вируса грузит систему

Логи:
25.06.2010, 19:14
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\f8c31c.exe
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [zeboov] C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe
O4 - HKCU\..\Run: [pazemmoum] C:\Documents and Settings\Андрей\Application Data\Microsoft\rossibujous.exe
O4 - HKCU\..\Run: [hyce] C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [Dr.Watson] C:\WINDOWS\system32\sysnkey32.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O23 - Service: Backbone Service (egryjurrz) - Four-F - C:\Documents and Settings\Андрей\Application Data\Microsoft\vavoomou.exe
O23 - Service: Websense CPM Report Scheduler (ucodwpahuwobeui) - Four-F - C:\Documents and Settings\Андрей\Application Data\Microsoft\byfabool.exe
O23 - Service: Asset Management Daemon (y5eoea5npoum2erk) - Four-F - C:\Documents and Settings\Андрей\Application Data\Microsoft\douny.exe[/CODE]

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\f8c31c.exe');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\oreaw.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe','');
QuarantineFile('C:\WINDOWS\system32\f8c31c.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\rossibujous.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe','');
DeleteService('bdjbcpnhgbonw');
QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\imjvxnonzyap.sys','');
QuarantineFile('C:\WINDOWS\system32\SearchIndexer.exe','');
DeleteService('ucodwpahuwobeui');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\byfabool.exe','');
DeleteService('egryjurrz');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\vavoomou.exe','');
QuarantineFile('c:\windows\system32\userini.exe','');
QuarantineFile('c:\documents and settings\Андрей\application data\microsoft\ligoujoro.exe','');
TerminateProcessByName('c:\documents and settings\Андрей\application data\microsoft\ligoujoro.exe');
QuarantineFile('c:\windows\system32\f8c31c.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv751277121687.exe','');
DeleteFile('C:\WINDOWS\Temp\wpv751277121687.exe');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe');
DeleteFile('c:\windows\system32\f8c31c.exe');
DeleteFile('c:\documents and settings\Андрей\application data\microsoft\ligoujoro.exe');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\vavoomou.exe');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\byfabool.exe');
DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\imjvxnonzyap.sys');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\rossibujous.exe');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe');
DeleteFile('C:\WINDOWS\system32\f8c31c.exe');
DeleteFile('C:\WINDOWS\system32\sysnkey32.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\oreaw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
25.06.2010, 20:43
atz

повторные логи:
26.06.2010, 17:35
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
BC_DeleteReg('HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman');
BC_DeleteSvc('bdjbcpnhgbonw');
BC_DeleteReg('HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Dr.Watson');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
27.06.2010, 17:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\андрей\application data\microsoft\byfabool.exe - [B]Trojan-Dropper.Win32.Vidro.bmm[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\documents and settings\андрей\application data\microsoft\ligoujoro.exe - [B]Trojan-Dropper.Win32.Vidro.bmm[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\documents and settings\андрей\application data\microsoft\rossibujous.exe - [B]Trojan-Dropper.Win32.Vidro.bmm[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\documents and settings\андрей\application data\microsoft\vavoomou.exe - [B]Trojan-Dropper.Win32.Vidro.bmm[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\documents and settings\андрей\application data\mrpky.exe - [B]Backdoor.Win32.Oserdi.ah[/B] ( DrWEB: Trojan.Packed.20427 )[*] c:\documents and settings\андрей\application data\oreaw.exe - [B]Trojan.Win32.Agent.eiin[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Buzus.HO, AVAST4: Win32:Malware-gen )[*] c:\docume~1\86a9~1\locals~1\temp\imjvxnonzyap.sys - [B]Rootkit.Win32.Agent.bhvx[/B] ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.381265, AVAST4: Win32:Malware-gen )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CQ, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\f8c31c.exe - [B]Trojan.Win32.Buzus.enth[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4215795, AVAST4: Win32:Delfcrypt-F [Drp] )[*] c:\windows\system32\sysnkey32.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Click.1014, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\userini.exe - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CQ )[*] c:\windows\temp\wpv751277121687.exe - [B]Email-Worm.Win32.Joleee.euj[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CQ, NOD32: Win32/SpamTool.Tedroo.AF trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]