Проверьте, пожалуйста

Printable View

27.09.2010, 12:40
Ven

Проверьте, пожалуйста

Хочу знать все ли чисто.
27.09.2010, 15:10
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5K0-4OPM-00WE-AAX5-27EF1D187263}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-21KC2A1112233}');
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\MEMO\AFANDY\april2x3.exe','');
QuarantineFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
QuarantineFile('C:\WINDOWS\TEMP\Nn0.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\TEMP\Nn1.exe','');
QuarantineFile('C:\Documents and Settings\Admin\ncghwdnhњ.exe','');
QuarantineFile('C:\Documents and Settings\Admin\ncghwdnh.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\rundll32.exe','');
DeleteFile('C:\Documents and Settings\Admin\ncghwdnh.exe');
DeleteFile('C:\Documents and Settings\Admin\ncghwdnhњ.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnhњ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnh');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SunJavaUpdateSched');
DeleteFile('C:\WINDOWS\TEMP\Nn1.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3FWHZQA3LT');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('c:\windows\system32\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\WINDOWS\TEMP\Nn0.exe');
DeleteFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
DeleteFile('C:\MEMO\AFANDY\april2x3.exe');
QuarantineFile('c:\windows\system32\wmsrvc.exe','');
DeleteFile('c:\windows\system32\wmsrvc.exe');
ClearHostsFile;
DeleteFileMask('C:\MEMO', '*.*', true);
DeleteDirectory('C:\MEMO');
DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
27.09.2010, 20:09
Ven

Вот, пожалуйста.
28.09.2010, 06:56
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\System32\ncghwdnhњ.exe');
DeleteFile('C:\WINDOWS\System32\ncghwdnh.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnhњ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
28.09.2010, 10:21
Ven

Карантин прикрепил. Вот логи.
28.09.2010, 11:22
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5k0-4opm-00we-aax5-27ef1d187263} (Backdoor.IRCBot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111 (Backdoor.IRCBot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\qqnt.bno (Trojan.Dropper.Gen) -> No action taken.
C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Desktop.ini (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Admin\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\rmhzb.exe (Worm.Palevo) -> No action taken.

[/CODE]
повторите лог
28.09.2010, 12:43
Ven

Сделал.
28.09.2010, 15:34
polword

чисто

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.
28.09.2010, 17:37
Ven

Спасибо огромное за помощь!!
29.09.2010, 17:06
Ven

при загрузке в безопасном режиме, по-прежнему, выдает BSOD...дампы не сохраняются:(
01.10.2010, 08:12
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(10);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
01.10.2010, 15:04
Ven

Все получилось, спасибо!
А в чем была проблема?
02.10.2010, 15:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\nn0.exe - [B]Trojan-Downloader.Win32.FraudLoad.xjog[/B] ( DrWEB: Trojan.DownLoad2.16745, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-BX [Cryp] )[*] c:\\windows\\temp\\nn1.exe - [B]Packed.Win32.Katusha.n[/B] ( DrWEB: Trojan.Siggen2.3493, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/TrojanDownloader.FakeAlert.BEK trojan, AVAST4: Win32:MalOb-BX [Cryp] )[/LIST][/LIST]