Вот еще один подозрительный компьютер.
Printable View
Вот еще один подозрительный компьютер.
Где третий лог?
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\wlinject.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys','');
QuarantineFile('C:\WINDOWS\system32\kkkdat.exe','');
QuarantineFile('C:\WINDOWS\system32\2648a35e.exe','');
DeleteFile('C:\WINDOWS\system32\2648a35e.exe');
DeleteFile('C:\WINDOWS\system32\kkkdat.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR="Blue"][B]log.txt[/B][/COLOR] и [COLOR="Blue"][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Есть вопрос по поводу одной строки в скрипте. А именно этой:
[I]QuarantineFile('C:\WINDOWS\system32\wlinject.exe','');
[/I]
wlinject.exe - это служба обеспечения работы клиента VipNET от Инфотекса [url]http://www.infotecs.ru/[/url]
Всё равно пускать скрипт? Или сначала добавить его в базу безопасных файлов?
скрипт файл только закарантинит и все... запустите скрипт
Попытался выполнить скрипт.
На этой строке:
[I]QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys','');[/I]
AVZ сообщил об ошибке "Ошибка карантина. Прямое чтение из файла"
А вот на этой строке:
[I]DeleteFile('C:\WINDOWS\system32\2648a35e.exe');[/I]
Компьютер "завис".
Делайте новые логи
Новые логи.
[QUOTE=polword;704784]
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR=Blue][B]log.txt[/B][/COLOR] и [COLOR=Blue][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.[/QUOTE]
вот этот лог еще
Логи RSIT
Выполните скрит в AVZ
[CODE]begin
QuarantineFileF('c:\windows\system32', '*.exe,adv*.tmp', false,'', 0, 0, '27.07.2010', '14.09.2010');
end.[/CODE]Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Лог Combofix.
Карантин выслал.
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\fed80705.exe
c:\windows\system32\775bb1f4.exe
c:\windows\system32\fjcxsd.exe
c:\windows\system32\qobjpt.exe
c:\windows\system32\adv1B.tmp
c:\windows\system32\adv1A.tmp
c:\windows\system32\adv19.tmp
c:\windows\system32\adv18.tmp
c:\windows\system32\adv17.tmp
c:\windows\system32\adv16.tmp
c:\windows\system32\adv15.tmp
c:\windows\system32\adv14.tmp
c:\windows\system32\fpougx.exe
c:\windows\system32\adv13.tmp
c:\windows\system32\adv12.tmp
c:\windows\system32\wrymcm.exe
c:\windows\system32\adv11.tmp
c:\windows\system32\rxyfgx.exe
c:\windows\system32\adv10.tmp
c:\windows\system32\sngwcd.exe
c:\windows\system32\advF.tmp
c:\windows\system32\advE.tmp
c:\windows\system32\dxyrji.exe
c:\windows\system32\advD.tmp
c:\windows\system32\advC.tmp
c:\windows\system32\kkkdat.exe
Driver::
Folder::
c:\program files\Common Files\pkr
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
При выполнении скрипта CFScript лог не был создан, потому что ОС выпала в "синий экран смерти" (сокращенный текст ошибки: [I]A Process or Thread cruical to system operation has unexpectedly exited or terminated STOP: 0x000000F4 (0x00000003, 0x85F12DA0, 0x85F12F14, 0x8060577E)[/I])
Однако после перезагрузки антивирус начал обновляться.
Надо делать новые логи AVZ, HijackThis, RSIT?
[QUOTE='yobot;715224']Надо делать новые логи AVZ, HijackThis, RSIT?[/QUOTE]Делайте
Новые логи.
Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\WINDOWS\system32\itcadvapi.dll');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил...
Карантин отправлен.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\dxyrji.exe - [B]Backdoor.Win32.Shiz.rs[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Dropper.TON, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Morphex [Cryp] )[*] c:\\windows\\system32\\fed80705.exe - [B]Backdoor.Win32.Shiz.wz[/B] ( DrWEB: BackDoor.Siggen.26284, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\fjcxsd.exe - [B]Backdoor.Win32.Shiz.vn[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\fpougx.exe - [B]Backdoor.Win32.Shiz.us[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\kkkdat.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\\windows\\system32\\qobjpt.exe - [B]Backdoor.Win32.Shiz.uw[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\rxyfgx.exe - [B]Backdoor.Win32.Shiz.uj[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\sngwcd.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38987, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\wrymcm.exe - [B]Backdoor.Win32.Shiz.uk[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\775bb1f4.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )[/LIST][/LIST]