Printable View
Подцепил на одном сайте данный файл. Он забился в автозапуск. Я его оттуда удалил, но система всёравно была успешно инфицирована.
[URL="http://rvs.ucoz.ru/hijackthis.zip"]hijackthis[/URL]
[URL="http://rvs.ucoz.ru/virusinfo_syscheck.zip"]syscheck[/URL]
[URL="http://rvs.ucoz.ru/virusinfo_syscure.zip"]syscure[/URL]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c1c87a90.exe,C:\WINDOWS\system32\wrhcls.exe,
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wrhcls.exe','');
QuarantineFile('C:\WINDOWS\system32\c1c87a90.exe','');
DeleteFile('C:\WINDOWS\system32\c1c87a90.exe');
DeleteFile('C:\WINDOWS\system32\wrhcls.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=83118[/url]).
Скачайте новую версию AVZ 4.34, обновите ее базы и сделайте новые логи.
А также
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Новые логи с версии 4.34
[URL="http://rvs.ucoz.ru/hijackthis.zip"]hijackthis[/URL]
[URL="http://rvs.ucoz.ru/virusinfo_syscheck.zip"]syscheck[/URL]
[URL="http://rvs.ucoz.ru/virusinfo_syscure.zip"]syscure[/URL]
лог RSIT еще сделайте
Вот пожалуйста
[URL="http://rvs.ucoz.ru/info.zip"]info[/URL]
[URL="http://rvs.ucoz.ru/log.zip"]log[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\WINDOWS\system32\ndpbtxd.exe','');
QuarantineFile('C:\WINDOWS\system32\axvobnz.exe','');
QuarantineFile('C:\WINDOWS\system32\tqulzvy.exe','');
QuarantineFile('C:\WINDOWS\system32\mkjkznx.exe','');
DeleteFile('C:\WINDOWS\system32\ndpbtxd.exe');
DeleteFile('C:\WINDOWS\system32\axvobnz.exe');
DeleteFile('C:\WINDOWS\system32\tqulzvy.exe');
DeleteFile('C:\WINDOWS\system32\mkjkznx.exe');
QuarantineFile('C:\WINDOWS\system32\xytnxwm.exe','');
QuarantineFile('C:\WINDOWS\system32\vhbivhx.exe','');
DeleteFile('C:\WINDOWS\system32\vhbivhx.exe');
DeleteFile('C:\WINDOWS\system32\xytnxwm.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторные логи RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL].
[URL="http://rvs.ucoz.ru/hijackthis.zip"]hijackthis[/URL]
[URL="http://rvs.ucoz.ru/virusinfo_syscheck.zip"]syscheck[/URL]
[URL="http://rvs.ucoz.ru/rsit.zip"]rsit[/URL]
В логах подозрительного нет. Что с проблемой?
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Проведите процедуру, которая описана в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL].
Проблема решена, система чиста. Спасибо за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\axvobnz.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\mkjkznx.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\ndpbtxd.exe - [B]Backdoor.Win32.Shiz.ky[/B] ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\tqulzvy.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\vhbivhx.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\xytnxwm.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )[/LIST][/LIST]