Активное заажение

Printable View

Показывать 40 сообщений этой темы на одной странице

03.10.2007, 18:35
ula_2007

Активное заажение

Помогите плиз!
Высылаю логи.
03.10.2007, 18:41
Bratez

Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\printer.exe','');
QuarantineFile('C:\WINNT\system32\stdole32.dat','');
DeleteFile('C:\WINNT\system32\printer.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
04.10.2007, 11:33
ula_2007

Карантин отправлен.
С нетерпением жду обнадеживающих новостей.
04.10.2007, 11:43
PavelA

Карантинчик неправильно сделали. Надо было про Приложению 3 Правил.

stdole32.dat - Trojan.Perfcoo (по Симантеку)
Будем удалять.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\stdole32.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
04.10.2007, 11:50
ula_2007

Извиняюсь!
Высылаю карантин сделаный в AVZ.
Мне показалось что он не полный.
04.10.2007, 11:55
drongo

он пустой и убрать отсюда, если не хотите получить нарушение
04.10.2007, 12:32
ula_2007

Из вложений я "virus.zip" (его я делал через AVZ ) удалил и переслал через
ссылку в верху.
Скрипт выполнил но вирусяка все равно грузится при загрузке
04.10.2007, 12:33
PavelA

[QUOTE=ula_2007;139657]Из вложений я "virus.zip" (его я делал через AVZ ) удалил и переслал через
ссылку в верху.
Скрипт выполнил но вирусяка все равно грузится при загрузке[/QUOTE]

Делай логи еще раз. Посмотрим, что осталось.
04.10.2007, 13:00
ula_2007

Высылаю новые логи.
04.10.2007, 13:20
PavelA

На удивление стало еще больше.
Выполнить скрипт:
[CODE]begin
ClearQuarantine;
ClearHostsfile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe');
BC_DeleteFile('C:\WINNT\system32\printer.exe');
DeleteFile('C:\WINNT\system32\printer.exe');
DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин после перезагрузки.
Сделать лог в Safe Mode: [url]http://virusinfo.info/showthread.php?t=10387[/url]

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

'C:\WINNT\system32\printer.exe' - Trojan.Win32.Qhost.pd
stdole32.dat - Trojan.Win32.Obfuscated.ii (по Касперскому)
04.10.2007, 14:05
ula_2007

Высылаю протокол сделаный
в безопасном режиме.
04.10.2007, 14:15
PavelA

уже получше. вот еще какой-то интересный файлик оказался:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\c:\huadio.tmp','');
BC_QrFile('c:\huadio.tmp');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Если попадет в карантин, загрузи отдельно от остальных.
04.10.2007, 14:46
ula_2007

Отсылаю полный карантин
и отдельно huadio.tmp
04.10.2007, 15:01
PavelA

huadio.tmp - чистый
Из скрипта №10 похоже все файлы убил твой антивирус.

Делай новый комплект логов.
04.10.2007, 15:24
ula_2007

Всем спасибо.
Отдельное спасибо Павлу!
Тему закрываю.Перелью винду,а то это долгая басня.
Просто комп стоит в другом месте.
Да если необходимо какая-то процедура закрытия темы,
то сообщите.
Еще раз всех благодарю.
04.10.2007, 15:31
PavelA

Зря. Я думаю, что на компе уже чисто. Переставлять винду не нужно, она живая.
04.10.2007, 15:51
ula_2007

Не Паша ,после второй перезагрузки все как
с чистого листа.Грузится printer.exe,
запускается процесс WinAvX.exe.
Я думаю ядро по самое нехочу заражено.
04.10.2007, 16:05
PavelA

Если есть десяток минут, подожди. Посмотрю в соседних темах, что мы с тобой недолечиваем.
04.10.2007, 16:13
ula_2007

окей!
04.10.2007, 16:29
PavelA

Профиксить:
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]

в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINNT\system32\printer.exe');
BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Показывать 40 сообщений этой темы на одной странице