Борьба с win32.virut.56

[nogicunesato]

Подцепил в колледже на флешку win32.virut.56. За несколько часов заразил мне практически весь ПК. Срочным образом успел скачать CureIT. Целую ночь лечил ПК, найдено было 200 с лишним экземпляров, в основном это были win32.virut.56, но попадались и Downloader'ы и бэкдореры. Вроде бы CureIT подлечил систему, но опасаюсь за машину, прошу взглянуть специалистов на логи.
(ОС - Windows 7even, тупая сборка на XP SP3, просто под рукой несколько месяцев назад после форматирования диска ничего не оказалось).

[Никита Соловьев]

http://support.kaspersky.ru/viruses/...?qid=208636998

воспользуйтесь утилитой. сделайте новые логи

[nogicunesato]

Прогнал утилиту при включенном соединении интернета. Вылечило 100 с лишним экземпляров. Перезагрузил ПК и прогнал без соединения. Затем выполнил проверку AVZ и HJ согласно правилам.

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\docume~1\temp\ydut.exe');
 TerminateProcessByName('c:\windows\system32\avicap32.exe');
 QuarantineFile('c:\windows\system32\avicap32.exe','');
 QuarantineFile('c:\windows\system32\wbem\wmiprvse.exe','');
 QuarantineFile('c:\docume~1\temp\ydut.exe','');
 QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
 QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

[nogicunesato]

Файл quarantine.zip отправил как вы и сказали

[Никита Соловьев]

Удалите Ваш AVZ. Скачайте заново и распакуйте. Обновите базы.

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\docume~1\temp\ydut.exe');
 TerminateProcessByName('c:\windows\system32\avicap32.exe');
 QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
 DelBHO('{6B5863A0-C43F-4C0A-982B-CC0E9125783F}');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
 QuarantineFile('explorer.exe,C:\Documents and Settings\Администратор\Application Data\vdolew.exe','');
 QuarantineFile('c:\windows\system32\wuaucldt.exe','');
 QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\system32\avicap32.exe','');
 QuarantineFile('C:\WINDOWS\System32\mtwsssnh~.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\mtwsssnh~.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Success\upldllms72\msftstp.exe','');
 QuarantineFile('C:\DOCUME~1\TEMP\ydut.exe','');
 QuarantineFile('c:\windows\system32\avicap32.exe','');
 QuarantineFile('c:\docume~1\temp\ydut.exe','');
 DeleteFile('c:\docume~1\temp\ydut.exe');
 DeleteFile('c:\windows\system32\avicap32.exe');
 DeleteFile('C:\DOCUME~1\TEMP\ydut.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Success\upldllms72\msftstp.exe');
 DeleteFile('C:\Documents and Settings\Администратор\mtwsssnh~.exe');;
 DeleteFile('C:\WINDOWS\System32\mtwsssnh~.exe');
 DeleteFile('C:\WINDOWS\system32\avicap32.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe');
 DeleteFile('c:\windows\system32\wuaucldt.exe');
 DeleteFile('explorer.exe,C:\Documents and Settings\Администратор\Application Data\vdolew.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qstatsrv.dll');
 DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
 DeleteFileMask('%TMP%','*.*',true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','e5u1');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mtwsssnh~');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mtwsssnh~');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mtwsssnh~');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smwcore');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

[nogicunesato]

Всё выполнил как было указано. Файл quarantine.zip загружен.

[nogicunesato]

Прилагаю новые логи

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe','');
 DeleteFile('c:\windows\explorer.exe:userini.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.


Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys чистым.

Сделайте новые логи AVZ + лог MBAM

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\mtwsssnh~.exe - Trojan.Win32.Obfuscated.akuo ( DrWEB: Trojan.Proxy.14858, BitDefender: Trojan.Generic.5042682, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Malware-gen )
  2. c:\\documents and settings\\администратор\\wuaucldt.exe - Trojan.Win32.Pincav.akkj ( DrWEB: Trojan.MulDrop1.48320, BitDefender: Trojan.Inject.IA, AVAST4: Win32:Cutwail-AN [Trj] )
  3. c:\\docume~1\\temp\\ydut.exe - Backdoor.Win32.VB.mgw ( DrWEB: BackDoor.Siggen.26754, BitDefender: Trojan.Generic.5889745, AVAST4: Win32:VB-QQH [Trj] )
  4. c:\\program files\\internet explorer\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
  5. c:\\windows\\system32\\avicap32.exe - Trojan.Win32.Scar.cxqz ( DrWEB: Trojan.Siggen2.5308, BitDefender: Trojan.Generic.4926503, AVAST4: Win32:Malware-gen )
  6. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
  7. c:\\windows\\system32\\mtwsssnh~.exe - Trojan.Win32.Obfuscated.akuo ( DrWEB: Trojan.Proxy.14858, BitDefender: Trojan.Generic.5042682, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Malware-gen )
  8. c:\\windows\\system32\\wuaucldt.exe - Trojan.Win32.Pincav.akkj ( DrWEB: Trojan.MulDrop1.48320, BitDefender: Trojan.Inject.IA, AVAST4: Win32:Cutwail-AN [Trj] )