Длинный лог

Printable View

15.12.2009, 13:41
VK_

Длинный лог

Один из коллег жаловался на свой домашний компьютер, дал ему на флэшке AVZ, попросил выполнит скрипт, комментарии как говорится излишни, лог прилагается
15.12.2009, 14:23
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\mlburmh.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mlburmh.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\diwqfz.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('klstm');
BC_DeleteSvc('ids00026');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=63784[/url]).
Сделайте новые логи (все три по правилам).
28.12.2009, 10:33
VK_

КАРАНТИН

Файл сохранён как 091228_103313_virus_4b385f393c9ac.zip
Размер файла 1745972
MD5 c1b76db4cbf93c7f3b57b50820a29360
28.12.2009, 10:36
snifer67

Сделайте новые логи (все три по правилам).
28.12.2009, 10:36
VK_

логи после выполнения лечения
28.12.2009, 12:13
VK_

вот, самые последние логи, только AVZ, hijackthis не запускается, и в безопасный режим войти не могу - перегружается . Видимо придётся просить у хозяина санкцию на переустановку Windows
28.12.2009, 12:16
VK_

логи
28.12.2009, 12:25
snifer67

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mlburmh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
28.12.2009, 13:11
VK_

свежий карантин, логи в процессе
Файл сохранён как 091228_131032_virus_4b388418139bb.zip
Размер файла 1550573
MD5 f317f7a0d292e65e43eefa3dcb288d7f
28.12.2009, 13:18
VK_

похоже без изменений :(
28.12.2009, 13:24
snifer67

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(19);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи.
28.12.2009, 15:17
VK_

довтыкался с флэшкой... он и ко мне на комп прописался:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82acf82f-e2fa-11de-8dd2-0002b306c169}\shell\open\Command\mlburmh.exe
28.12.2009, 15:23
snifer67

Вставте все сьемные носители, сделайте логи avz.
29.12.2009, 11:54
VK_

вот последние логи
29.12.2009, 13:02
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\IMES.dll','');
DeleteFile('C:\WINDOWS\system32\IMES.dll');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\mlburmh.exe','');
DeleteFile('C:\mlburmh.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mlburmh.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]
Сделайте новые логи
29.12.2009, 14:11
VK_

карантин:
Файл сохранён как 091229_141050_virus_4b39e3bae7322.zip
Размер файла 1405722
MD5 52cb95c82bd31c0a17e3efa42b9378af
29.12.2009, 15:05
VK_

логи
29.12.2009, 15:34
Bratez

В логах все нормально.
Что с проблемами?
29.12.2009, 15:46
VK_

похоже излечился, но что то подозрительное есть, например не видны системные и скрытые файлы, в свойствах папки установлено показывать их
29.12.2009, 16:48
thyrex

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Проверяйте показ скрытых файлов
30.12.2009, 16:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.inf - [B]Worm.Win32.AutoRun.wzu[/B] ( BitDefender: Trojan.Autorun.RU, AVAST4: VBS:Malware-gen )[*] c:\mlburmh.exe - [B]Worm.Win32.AutoRun.diq[/B] ( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA, NOD32: Win32/AutoRun.QV worm, AVAST4: Win32:AutoRun-ANQ [Wrm] )[*] c:\windows\system32\csrcs.exe - [B]Worm.Win32.AutoIt.tc[/B] ( DrWEB: Win32.HLLW.Autohit.10875, BitDefender: Gen:Trojan.Heur.AutoIT.Xq3@byRcR1kO )[*] d:\autorun.inf - [B]Worm.Win32.AutoRun.wzu[/B] ( BitDefender: Trojan.Autorun.RU, AVAST4: VBS:Malware-gen )[*] d:\mlburmh.exe - [B]Worm.Win32.AutoRun.diq[/B] ( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA, NOD32: Win32/AutoRun.QV worm, AVAST4: Win32:AutoRun-ANQ [Wrm] )[*] h:\autorun.inf - [B]Worm.Win32.AutoRun.wzu[/B] ( BitDefender: Trojan.Autorun.RU, AVAST4: VBS:Malware-gen )[/LIST][/LIST]