Доброго вечера,
вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.
Алексей.
Printable View
Доброго вечера,
вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.
Алексей.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\qwe\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\AntiTool.exe','');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFile('C:\Documents and Settings\qwe\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\fasd621.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_ImportALL;
BC_DeleteSvc('kbd');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('AudioSrvHidServ');
BC_DeleteSvc('Googles Onlines Search Services');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=41914"]http://virusinfo.info/upload_virus.php?tid=41914[/URL]
Повторите логи по правилам.
Выполнено.
Высылаю логи и карантин. По-прежнему с флешки - напрямую с сайтом соединиться не могу - выдает ошибку. И винт работает постоянно...
Алексей.
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('qandr');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Выполнил.
Логи выкладываю, запустился HJK - выкладываю...
После выполнения скрипта опять дисконнект с "Вирусинфо" - запустил АВИРУ - так каждые 15 сек ругань на Crypt.DX.3 из c:/windows/msacm32.drv...
Жду инструкций. Алексей.
Не нравится мне вот этот файл C:\WINDOWS\system32\fcfaf.dll и еще больше вот это:
[QUOTE]O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)[/QUOTE]
Пока сделайте лог Gmer [url]http://virusinfo.info/showthread.php?t=40118[/url]
Благополучно послал меня Gmer... На 2-3 сек появляется и гаснет... На сайт не пускает, АВИРУ обновить не дает... Но при всем при этом, к примеру, Рамблер грузит исправно. Мдя...
Алексей.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А как провода надоело туда-сюда - системника 2, а вот перефирии ((
Попробуйте это [url]http://virusinfo.info/showthread.php?t=41675[/url]
Скачал, переключаю шнуры.
Спс, что не спите)
Алексей.
После KKiller (выдал 2 сообщения об убийстве в svchost.exe - PID 960) запустился Gmer. Выкладываю 2 лога - просто неожиданно сразу в первый раз пошел, не уверен, что лог корректный.
Кстати, сдури 1 раз после Киллера перезапустился - после нашел то же самое.
Алексей.
Кстати - пустил уже с больного)
Хорошо, но есть странности. У меня к Вам просьба. Еще раз запустите лечилку от ЛК, после чего перезагрузитесь и сделайте лог Gmer.
С точностью до тогоже самого - до перезагрузки, вроде пускает, после - на круги своя. Пока опять от КЛ не запустишь. Лог ГМЕР выкладываю, может и КЛ приложить?
Алексей.
Ага, все ясно! Давайте последний лог Gmer.
Уже) Сорри - здесь НЕТ значительно медленне - поторопился, с непривычки. Лог в сообщении выше.
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wuausvc');
QuarantineFile('C:\WINDOWS\system32\fcfaf.dll','');
DeleteFile('C:\WINDOWS\system32\fcfaf.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wuausvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=41914[/url]
3. Повторите лог Gmer.
Сделано, выкладываю карантин, на всякий - лог по 3 приложению.
Алексей.
Логи AVZ пока не нужны. Давайте лог Gmer и не забудьте загрузить карантин.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Очень хорошо! Карантин у нас. В нем новая версия червя Kido, которая пока не определяется антивирусами. Значит ночь прошла не зря. :)
Выкладываю - карантин должен быть на месте.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
DeleteService('wuausvc');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
BC_DeleteSvc('wuausvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог Gmer.
Сделано. Выкладываю.
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите Registry, затем найдите ветки:
[QUOTE]HKLM\SYSTEM\CurrentControlSet\Services\wuausvc[/QUOTE]
и удалите все ключи с wuausvc...
Тоже самое на
[QUOTE]HKLM\SYSTEM\ControlSet002\Services\wuausvc[/QUOTE]
Сделайте контрольный лог Gmer.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=39413"]Как искать и удалять ключи реестра с помощью IceSword[/URL]
Сделал - наиболее трудно последнее далось - так глубоко дело ранее не заходило).
Выкладываю лог.
Я помощи уже не увидел) Но спасибо)
Мы его сделали. :)
Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью [URL="http://downloads.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и повторите логи...
[B][COLOR="Red"]
Только скачивать и проверять уже завтра ближе к вечеру, так как в базы его еще не добавили![/COLOR][/B]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Сейчас нужно поставить все обновления, чтобы не заразиться опять.
:D Спасибо Вам персонально и всем вашим коллегам)))
Алексей.
[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]
У меня АВИРА каждодневно обновляется - пойдет?
[quote=Sibirian;373400]У меня АВИРА каждодневно обновляется - пойдет?[/quote]
Я имела ввиду обновления ОС. Авиру конечно можете оставить, но проверить компьютер с помощью AVPTool все равно необходимо.
Спс и простите лола)
Попробую час поспать - еще раз всем вам браво!
:clapping:
Алексей.
Пришел ответ:
[QUOTE]В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.[B]Net-Worm.Win32.Kido.jc[/B][/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\pagefile.pif - [B]Virus.Win32.Xorer.em[/B]( DrWEB: Win32.HLLP.Rox.13, BitDefender: Trojan.Xorer.P )[*] c:\windows\system32\antitool.exe - [B]Trojan-GameThief.Win32.OnLineGames.mix[/B]( DrWEB: Trojan.Sniff, BitDefender: Trojan.Arposon.A )[*] c:\windows\system32\com\lsass.exe - [B]Virus.Win32.Xorer.em[/B]( DrWEB: Win32.HLLP.Rox.13, BitDefender: Trojan.Xorer.P )[*] c:\windows\system32\com\smss.exe - [B]Virus.Win32.Xorer.dt[/B]( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.DU )[*] c:\windows\system32\dnsq.dll - [B]Virus.Win32.Xorer.ee[/B]( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.ED )[*] c:\windows\system32\drivers\alg.exe - [B]Trojan-Downloader.Win32.Agent.mis[/B]( DrWEB: Trojan.Sniff )[*] c:\windows\system32\drivers\qandr.sys - [B]Rootkit.Win32.Qandr.ao[/B]( BitDefender: Trojan.Srizbi.SYS.Gen )[*] c:\windows\system32\fcfaf.dll - [B]Net-Worm.Win32.Kido.jc[/B]( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]