Unloker.exe

Printable View

11.08.2010, 19:35
zipa

Unloker.exe

Unloker какой то...вирус
11.08.2010, 20:43
polword

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\96EW.sys','');
QuarantineFile('Changer.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cv2k1.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\eogpfj.sys','');
DeleteService('aic32p');
DeleteFile('C:\WINDOWS\system32\drivers\eogpfj.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Скачайте [URL="http://support.kaspersky.ru/viruses/solutions?qid=208636131"]такую[/URL] утилиту и пролечитесь ей на всякий случай
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"][B]MBAM[/B][/URL]
11.08.2010, 21:20
zipa

Странно но в файле карантина нету файлов...
Выкладываю новые логи
11.08.2010, 22:26
polword

[QUOTE=polword;686485][URL="http://virusinfo.info/showthread.php?t=7239"][/URL]- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"][B]MBAM[/B][/URL][/QUOTE]
вот такой лог еще
11.08.2010, 23:09
zipa

делается..
11.08.2010, 23:53
zipa

Лог MBAM
12.08.2010, 06:39
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\zipa\Application Data\msf32\data\templates\service.exe','');
QuarantineFile('C:\Documents and Settings\zipa\Application Data\msf32\data\templates\.svn\text-base\service.exe.svn-base','');
QuarantineFile('C:\Documents and Settings\zipa\Мои документы\l2control\l2net.exe','');
QuarantineFile('C:\Documents and Settings\zipa\Мои документы\l2control5.0\l2control\l2net.exe ','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- удалите в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{m7mr71ts-pc53-8a36-7vvm-v814n8027f4s} (Generic.Bot.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\zipa\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\zipa\Application Data\logs.dat (Bifrose.Trace) -> No action taken.
C:\Documents and Settings\zipa\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
[/CODE]

повторите лог MBAM
12.08.2010, 11:50
zipa

Файл сохранён как 100812_115048_quarantine_4c63a7d8d0cda.zip
Размер файла 481228
MD5 56519fbf318e7d9668383b165460d44e
12.08.2010, 12:11
Rene-gad

Выполните скрипт в AVZ
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\zipa\Application Data\msf32\data\templates\service.exe');
DeleteFile('C:\Documents and Settings\zipa\Application Data\msf32\data\templates\.svn\text-base\service.exe.svn-base');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL]
12.08.2010, 13:01
zipa

новые логи
12.08.2010, 13:25
Rene-gad

[QUOTE=zipa;686789]новые логи[/QUOTE]
TuneUp - удалите.
- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
12.08.2010, 13:45
zipa

спасибо большое за помошь!
13.08.2010, 13:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\zipa\application data\msf32\data\templates\service.exe - [B]Trojan.Win32.Rozena.glv[/B] ( DrWEB: Trojan.Inject.9320 )[*] c:\documents and settings\zipa\application data\msf32\data\templates\.svn\text-base\service.exe.svn-base - [B]Trojan.Win32.Rozena.glv[/B] ( DrWEB: Trojan.Inject.9320 )[/LIST][/LIST]