Вирусня, а ля cfdrive32.exe и компания

Printable View

21.10.2010, 21:22
Baz1k

Вирусня, а ля cfdrive32.exe и компания

Устал уже от них.

Логи прилагаю.
21.10.2010, 21:59
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\723.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
21.10.2010, 22:25
Baz1k

Карантин не захотел загружаться. Вылезла ошибка "Ошибка загрузки. Данный файл уже был загружен"

Логи прилагаю.
21.10.2010, 22:32
olejah

:) Это у меня уже на ночь мысли путаются, не нужно карантин загружать

- Что с проблемой?
21.10.2010, 22:39
Baz1k

А дак опять в процессах этот cfdrive32.exe...

И еще: возможно, он появился после того, как я флешку вставил. На ней был всем известный autorun.inf и папка myfolder (скрытые оба). Unlocker'ом их разблокировал (оба лезут в процесс Explorer.exe), удалил, флешку вытащил. Вставил обратно - снова на флешке появились.

Откуда и куда тащу вирус? :) С флешки на комп или с компа на флешку?
21.10.2010, 22:40
olejah

Да, так и думал, быстро они не уходят

- [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]Сделайте лог полного сканирования МВАМ[/URL]
22.10.2010, 00:04
Baz1k

Сделал.
22.10.2010, 07:23
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.

Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken.
C:\RECYCLER\S-1-5-21-0551576609-7402243513-879434063-7095\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-4958375535-2918065625-329903807-0642\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-1789755270-6011387121-082499437-1387\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-1881404547-0553789710-680897997-2686\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
[/CODE]
22.10.2010, 10:08
Baz1k

Готово.
22.10.2010, 10:13
Baz1k

Опять всё на месте :(
22.10.2010, 10:16
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
22.10.2010, 10:50
Baz1k

Сделал.
22.10.2010, 10:54
olejah

Поудалял он всего на славу. Что-нибудь осталось?
22.10.2010, 11:03
Baz1k

В процессах ничего не видать. Понаблюдаю до вечера и отпишусь :)
22.10.2010, 16:45
Baz1k

И опять были замечены в процессах! :(

Еще раз ComboFix запустил.
22.10.2010, 20:22
olejah

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\documents and settings\Администратор\Application Data\ltzqai.exe
c:\windows\system32\72.exe

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
22.10.2010, 21:22
Baz1k

Сделал.
22.10.2010, 21:35
olejah

Как сейчас? Восстановление системы недеюсь отключили?
22.10.2010, 21:40
Baz1k

Пока вроде тихо... Восстановление давно отключено.

Наблюдаю..:)
22.10.2010, 22:58
thyrex

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
24.10.2010, 00:13
Baz1k

Ну что ж, вроде ушли они... Спасибо за помощь :)