Помогите, вирус

Printable View

31.08.2010, 16:26
aspu

Помогите, вирус

Гадость какая-то блокирует диспетчер задач, командную строку, не дает грузиться в сейфмоде. Пробовал чистить вебом с лив сд не помогло :( нид хелп

З.Ы. Карантин:
Результат загрузки
Файл сохранён как 100831_162904_2010-08-31_4c7cf5904c9a3.zip
Размер файла 1945959
MD5 d1c3ac8437d869018a54c3c89aa59e92
31.08.2010, 19:39
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\MTISIZ\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\MTISIZ\ctfmon.exe');
QuarantineFile('1.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WKZ54OKY\g4[1].zip','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7BENB9HZ\yd1[1].zip','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7BENB9HZ\yd1[1].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WKZ54OKY\g4[1].zip');
DeleteFile('1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ExecuteRepair(1);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Скачайте новую версию [URL="http://z-oleg.com/secur/avz/download.php"]АВЗ[/URL]

- Обновите базы

- Повторите логи
02.09.2010, 10:20
aspu

Все сделал, закачал новые логи и карантин
02.09.2010, 10:22
olejah

[QUOTE='Olejah;699352']- Скачайте новую версию АВЗ

- Обновите базы[/QUOTE] Вот это Вы успешно проигнорировали
02.09.2010, 11:00
aspu

качал версию 4.35 с z-oleg, если это не последняя то какая же еще?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Понял проблему. Логи почему-то старые остались, сейчас еще раз прогоню. Извиняюсь.
02.09.2010, 12:17
aspu

Вот свежие логи
02.09.2010, 12:24
olejah

Выполните скрипт в АВЗ -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

- Повторите лог [B]virusinfo_syscheck.zip[/B]

- Что-нибудь беспокоит в данный момент?
02.09.2010, 12:55
aspu

Проблемы остаются пока
>> Заблокировано меню Пуск\Выполнить
>> Проводник - заблокирован доступ к свойствам папки
доступ по сети к компу тоже заблокирован
02.09.2010, 13:03
olejah

Выполните скрипт в АВЗ -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/CODE]

- Компьютер перезагрузится.

- Сейчас?
02.09.2010, 13:21
aspu

Вроде все чисто. Правда с сетью какие-то проблемы остаются, пишет не может обратиться к драйверу IP, сейчас попробую разобраться. Огромное спасибо.
02.09.2010, 13:24
olejah

Настоятельно рекомендуется обновить систему, установить Service Pack 3, и обновить Internet Explorer, для этого можно восспользоваться функцией автоматического обновления системы.
02.09.2010, 13:37
aspu

Проблема решилась заменой tcpip.sys. Да это конечно, но через интернет от скайлинка сп3 качать долго. Обязательно привезу попозжее и поставлю. Еще раз спасибо за помощь.
03.09.2010, 13:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\wkz54oky\\g4[1].zip - [B]Net-Worm.Win32.Kolab.tbr[/B] ( DrWEB: Trojan.MulDrop1.41820, BitDefender: Trojan.Dropper.Agent.VAW, AVAST4: Win32:Flot-Q [Wrm] )[*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\7benb9hz\\yd1[1].zip - [B]Backdoor.Win32.IRCBot.qiy[/B] ( DrWEB: Trojan.MulDrop1.41825, BitDefender: Trojan.Dropper.Agent.VAW, AVAST4: Win32:Flot-Q [Wrm] )[/LIST][/LIST]