Помогите buritos

[AHT]

Это неубиваемый буритос замотал совсем. Не чего не могу сделать. Прошу помощи. ОС Windows XP (лицензия). За любую помощь заранее спасибо. Логи прилогаются.

[AndreyKa]

Логов не наблюдаю. Если не получается прикрепить к первому сообщению, создайте новое.

[AHT]

Спасибо. Пробую еще.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\karina.dat','');
 DeleteService('Winek28');
 DeleteService('Winfl53');
 DeleteService('Wingn17');
 DeleteService('Winho86');
 DeleteService('Winiq20');
 DeleteService('Winkr30');
 DeleteService('Winkr31');
 DeleteService('Winms07');
 DeleteService('Winnu07');
 DeleteService('Winpw86');
 DeleteService('Winqx75');
 DeleteService('Winta75');
 DeleteService('Wintc64');
 DeleteService('Winuc42');
 DeleteService('Winvd07');
 DeleteService('Winxf18');
 DeleteService('Winck20');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winck20.sys','');
 DeleteService('xmlprovThemes');
 DeleteService('W32Timewuauserv');
 DeleteService('SSDPSRVSRS_PostInstallerSRS_PostInstaller');
 DeleteService('srserviceNOD32krn');
 DeleteService('srserviceHTTPFilterAVP');
 DeleteService('srserviceHTTPFilter');
 DeleteService('SRS_PostInstallerSRS_PostInstaller');
 DeleteService('ShellHWDetectionS24EventMonitor');
 DeleteService('SENSRichVideo');
 DeleteService('seclogonose');
 DeleteService('SandraAgentSrvSCardSvrSwPrv');
 DeleteService('SandraAgentSrvSCardSvr');
 DeleteService('SamSsRemoteRegistry');
 DeleteService('ProtectedStorageALG');
 DeleteService('PlugPlayCOMSysAppsrservice');
 DeleteService('PlugPlayCOMSysApp');
 DeleteService('oseThemesWmiApSrv');
 DeleteService('oseThemes');
 DeleteService('NetTcpPortSharinghelpsvc');
 DeleteService('NetDDEdsdmPlugPlayCOMSysApp');
 DeleteService('napagent Service');
 DeleteService('MessengerRemoteRegistry');
 DeleteService('MessengerAutodeskFastUserSwitchingCompatibility');
 DeleteService('idsvcNtmsSvc');
 DeleteService('HidServAppMgmtTapiSrv');
 DeleteService('HidServLmHosts');
 DeleteService('HidServAppMgmtSENS');
 DeleteService('HidServAppMgmtImapiService');
 DeleteService('dmserverLmHosts');
 DeleteService('dmserverHidServAppMgmtImapiService');
 DeleteService('Dhcpdmadmin');
 DeleteService('CryptSvcSpooler');
 DeleteService('clr_optimization_v2.0.50727_32Dnscache');
 DeleteService('CiSvcSwPrv');
 DeleteService('BonjourCOMSysApp');
 DeleteService('BITS Office Groove Audit Service');
 DeleteService('AutodeskNetman');
 DeleteService('AutodeskFastUserSwitchingCompatibilitySSDPSRVSRS_PostInstallerSRS_PostInstaller');
 DeleteService('AutodeskFastUserSwitchingCompatibility');
 DeleteService('AppMgmtNetman');
 QuarantineFile('srv.exe','');
 QuarantineFile('c:\windows\system32\buritos.exe','');
 TerminateProcessByName('c:\windows\system32\buritos.exe');
 DeleteFile('c:\windows\system32\buritos.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Winck20.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winek28.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winfl53.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfm42.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Wingn17.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winho86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winip86.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winiq20.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winkr30.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winkr31.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winms07.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winnu07.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winpw86.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winqx75.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winta75.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Wintc64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc42.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winvd07.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winxf18.sys');
 DeleteFile('C:\WINDOWS\system32\karina.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ....

[AHT]

Скрипт выполнен. Карантин отправлен. Новые логи

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winvd53');
 DeleteService('NetTcpPortSharing');
 TerminateProcessByName('c:\windows\buritos.exe');
 DeleteFile('c:\windows\buritos.exe');
 DeleteFile('NetTcpPortSharing.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winvd53.sys');
 DeleteFile('C:\WINDOWS\karina.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[AHT]

Скрипт выполнен. Новые логи.

[AndreyKa]

Пофиксте в HijackThis следующие строки:

O4 - HKLM\..\Run: [buritos] buritos.exe
O4 - HKCU\..\Run: [ICQ] KERNEL32.dll
O20 - AppInit_DLLs: karina.dat

Повторите лог HijackThis после перезагрузки.
Проблем больше нет?

[AHT]

Огромное спасибо V_Bond за терпеливое ведение и AndreyKa за грамотно поставленную точку. Логи чистые.Три дня плясок с бубнами позади. Спасибо за вашу работу. Что могли бы посоветовать для предотвращения подобного впредь?

[V_Bond]

почитайте

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\buritos.exe - Hoax.Win32.Renos.vbbl (DrWEB: Trojan.Packed.612)
  2. c:\\windows\\system32\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739)