Не пойму в чем проблема

Printable View

12.03.2011, 17:24
pi2ox

Не пойму в чем проблема

Доброго вечера вам. У меня такая проблема. Совсем недавно открыл "Диспетчер задач" и увидел там не очень понятные .tmp файлы и exe-шники. Вообщем что долго тянуть, скидываю логи.
12.03.2011, 18:06
Acidorum

Здравствуйте.
[QUOTE]Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и переделайте логи.
12.03.2011, 19:42
pi2ox

Извиняюь за причиненные не удобства. Забыл обновить с прошлого раза.
12.03.2011, 20:02
Acidorum

Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\957.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\892.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\849.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\656.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\633.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\544.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\109.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\028.exe','');
QuarantineFile('C:\WINDOWS\system32\zussezu.exe','');
QuarantineFile('C:\WINDOWS\system32\tyssuwalin.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\howu.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\zavlc1id5o0.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\v71mnsdtz6.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\qgc1id5o0v.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\fgbh2ndefv.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\fxmdk.exe','');
QuarantineFile('C:\WINDOWS\system32\soucuv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7252696083-9851626588-915695178-4856\djwi2kcew.exe','');
DeleteFile('C:\WINDOWS\system32\soucuv.exe');
DeleteFile('C:\Documents and Settings\Administrator\fxmdk.exe');
DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\fgbh2ndefv.exe');
DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\qgc1id5o0v.exe');
DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\v71mnsdtz6.exe');
DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\zavlc1id5o0.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\howu.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe');
DeleteFile('C:\WINDOWS\system32\tyssuwalin.exe');
DeleteFile('C:\WINDOWS\system32\zussezu.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\028.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\109.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\544.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\633.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\656.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\849.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\892.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\957.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7252696083-9851626588-915695178-4856\djwi2kcew.exe');
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','ticir');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','ticir');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','fanelys');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','fanelys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','poumuquoo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','fanelys');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ia2eyxiv');
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
А ещё сделайте лог [URL="http://support.kaspersky.ru/faq/?qid=208639606"]такой[/URL] утилитой.
12.03.2011, 20:32
pi2ox

Карантин выслал, логи сделал.
12.03.2011, 20:46
Acidorum

Стало чуть-чуть лучше.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\documents and settings\localservice\application data\microsoft\soottusout.exe');
TerminateProcessByName('c:\windows\temp\ntchwcbmtyrt5a2aba6a.tmp');
TerminateProcessByName('c:\windows\temp\gtczrcfttaq58c41c51.tmp');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\varagy.exe','');
QuarantineFile('c:\documents and settings\localservice\application data\microsoft\soottusout.exe','');
QuarantineFile('c:\windows\temp\ntchwcbmtyrt5a2aba6a.tmp','');
QuarantineFile('c:\windows\temp\gtczrcfttaq58c41c51.tmp','');
DeleteFile('c:\windows\temp\gtczrcfttaq58c41c51.tmp');
DeleteFile('c:\windows\temp\ntchwcbmtyrt5a2aba6a.tmp');
DeleteFile('c:\documents and settings\localservice\application data\microsoft\soottusout.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\varagy.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','fanelys');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','fanelys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('eg1oy7fynynmuwuw');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
13.03.2011, 10:56
pi2ox

Архив карантина весит 1кб. Это нормально?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И не отсылается..
13.03.2011, 11:22
Bratez

[QUOTE='pi2ox;774677']Архив карантина весит 1кб. Это нормально?[/QUOTE]
Пустой, очевидно.
Делайте новые логи.
14.03.2011, 11:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]58[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\administrator\\fxmdk.exe - [B]P2P-Worm.Win32.Palevo.caii[/B] ( DrWEB: Win32.HLLW.Autoruner.44048, BitDefender: Application.Generic.346417, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\administrator\\local settings\\temp\\028.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\local settings\\temp\\633.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\local settings\\temp\\656.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\local settings\\temp\\849.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\local settings\\temp\\892.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\local settings\\temp\\957.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\fgbh2ndefv.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\qgc1id5o0v.exe - [B]Trojan-Downloader.Win32.Refroso.crf[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\v71mnsdtz6.exe - [B]Trojan-Downloader.Win32.Refroso.cqx[/B] ( DrWEB: Trojan.DownLoad2.31310, BitDefender: Trojan.Generic.5600545, AVAST4: Win32:Trojan-gen )[*] c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\zavlc1id5o0.exe - [B]Trojan-Downloader.Win32.Refroso.cqy[/B] ( DrWEB: Trojan.DownLoad2.31310, BitDefender: Backdoor.Generic.671405, AVAST4: Win32:Trojan-gen )[*] c:\\documents and settings\\localservice\\application data\\microsoft\\howu.exe - [B]Trojan-Dropper.Win32.VB.awau[/B] ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )[*] c:\\documents and settings\\localservice\\application data\\microsoft\\zussezu.exe - [B]Trojan-Dropper.Win32.VB.awau[/B] ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )[*] c:\\recycler\\s-1-5-21-7252696083-9851626588-915695178-4856\\djwi2kcew.exe - [B]Trojan.Win32.Refroso.ddad[/B] ( DrWEB: Trojan.DownLoader1.37726, BitDefender: Trojan.Generic.6702772, AVAST4: Win32:Inject-AFM [Trj] )[*] c:\\windows\\system32\\soucuv.exe - [B]Trojan-Dropper.Win32.VB.awau[/B] ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )[*] c:\\windows\\system32\\tyssuwalin.exe - [B]Trojan-Dropper.Win32.VB.awau[/B] ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )[*] c:\\windows\\system32\\zussezu.exe - [B]Trojan-Dropper.Win32.VB.awau[/B] ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )[/LIST][/LIST]