ltzqai.exe и т.д.

Printable View

09.10.2010, 18:14
nbyte

ltzqai.exe и т.д.

Здравствуйте.
Столкнулся с вирусом которого ничего не берёт.
Пробовал kasp 2011, kasp 7, avz4, combofix.
Перерыл интернет и нашел массу ручных скриптов для avz этого случая, но не один из них так-же его не берёт.
Потратил целый день борясь с ним и все свои силы, но безрезультатно.
Прошу помощи :(
Прикрепляю лог avz4
09.10.2010, 18:28
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('06.exe','');
QuarantineFile('C:\Documents and Settings\Valera\Application Data\rdrmi.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3282960392-8487675190-306321011-2906\syscr.exe','');
QuarantineFile('C:\WINDOWS\cpctd.exe','');
QuarantineFile('C:\WINDOWS\hnbvl.exe','');
QuarantineFile('C:\WINDOWS\system32\334TDcf3.exe','');
QuarantineFile('C:\Documents and Settings\Valera\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Valera\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\334TDcf3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\hnbvl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\cpctd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3282960392-8487675190-306321011-2906\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGAResolution');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
DeleteFile('C:\Documents and Settings\Valera\Application Data\rdrmi.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');
DeleteFile('06.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
DeleteFile('C:\WINDOWS\Tasks\At*.job');
QuarantineFile('C:\DOCUME~1\Valera\LOCALS~1\Temp\867.exe','');
DeleteFile('C:\DOCUME~1\Valera\LOCALS~1\Temp\867.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
09.10.2010, 18:56
nbyte

А Вы знаете вроде-бы помогло (стучу по дереву)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Даже невериться :)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Спасибо Вам огромное!
09.10.2010, 19:07
olejah

[QUOTE='Olejah;718286']- Сделайте лог Гмер[/QUOTE] ???
10.10.2010, 19:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\valera\\application data\\ltzqai.exe - [B]Trojan.Win32.Pincav.aiok[/B] ( DrWEB: Trojan.Packed.21058, BitDefender: Trojan.Generic.4923014, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\valera\\application data\\rdrmi.exe - [B]P2P-Worm.Win32.Palevo.awny[/B] ( DrWEB: Trojan.DownLoader1.26819, BitDefender: Trojan.Generic.4898589, NOD32: Win32/Peerfrag.IM worm, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\valera\\locals~1\\temp\\867.exe - [B]Trojan.Win32.Pincav.aiok[/B] ( DrWEB: Trojan.Packed.21058, BitDefender: Trojan.Generic.4923014, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-3282960392-8487675190-306321011-2906\\syscr.exe - [B]P2P-Worm.Win32.Palevo.awny[/B] ( DrWEB: Trojan.DownLoader1.26819, BitDefender: Trojan.Generic.4898589, NOD32: Win32/Peerfrag.IM worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.Jorik.SdBot.ex[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: IRC-Worm.Generic.14455, NOD32: IRC/SdBot trojan, AVAST4: Win32:Rebhip-AC [Trj] )[*] c:\\windows\\hnbvl.exe - [B]P2P-Worm.Win32.Palevo.awny[/B] ( DrWEB: Trojan.DownLoader1.26819, BitDefender: Trojan.Generic.4898589, NOD32: Win32/Peerfrag.IM worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\msvmiode.exe - [B]Trojan.Win32.Jorik.Tedroo.n[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.129785, AVAST4: Win32:Regrun-BI [Trj] )[/LIST][/LIST]