АВИРа постоянно находит троянов

[Sibirian]

Доброго вечера - а SPECIAL AVZ - полиморф? А то у меня уже есть?

[pig]

Да, полиморф. Насколько у вас свежая версия? Лучше для надёжности скачать заново.

[Sibirian]

Утро доброе,
полиморф свежий, скачивал 22.07.09, выполнил скрипт, выкладываю логи.

Алексей.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-3977537050-4982099239-142414568-3818\mwau.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9025096069-8627796047-753190995-6147\csvcs.exe','');
 TerminateProcessByName('c:\windows\usb_mgr.exe');
 QuarantineFile('c:\windows\usb_mgr.exe','');
 TerminateProcessByName('c:\windows\msddrv42.exe');
 QuarantineFile('c:\windows\msddrv42.exe','');
 DeleteFile('c:\windows\msddrv42.exe');
 DeleteFile('c:\windows\usb_mgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9025096069-8627796047-753190995-6147\csvcs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3977537050-4982099239-142414568-3818\mwau.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Sibirian]

Карантин прислал с результатом: Файл сохранён как090727_111418_virus_4a6d53ca37cd0.zip
Размер файла253010MD5158be2947996a5e807df201ed7075b4d



Скрипт выполнил, логи выкладываю.
Алексей.

[thyrex]

Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE"

Файл, отвечающий за Диспетчер задач, не переименовывали сами?

[Sibirian]

нет, все стандартно

[thyrex]

Поищите файл (файлы) TASKMAN.EXE и пришлите согласно Приложения 2 правил

[Sibirian]

Добрый день,
не могу добавить файл TASKMAN.EXE согласно приложению 2 - выдает ошибку добавления. Поиск по дискам дал 2 детекта - в папке Винды, и Винда/Систем32. При попытке добавить в карантин с указанием пути - "процесс завершен" и пустая директория. Что я делаю не так?

Выкладываю свежие логи, после последнего прогона карантин пустой.

Алексей.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\usb_magr.exe');
 QuarantineFile('c:\windows\usb_magr.exe','');
 TerminateProcessByName('c:\documents and settings\qwe\ms18_word.exe');
 QuarantineFile('c:\documents and settings\qwe\ms18_word.exe','');
 TerminateProcessByName('c:\windows\system32\ms18_word.exe');
 QuarantineFile('c:\windows\system32\ms18_word.exe','');
 TerminateProcessByName('c:\windows\mrmngr.exe');
 QuarantineFile('c:\windows\mrmngr.exe','');
 DeleteFile('c:\windows\mrmngr.exe');
 DeleteFile('c:\windows\system32\ms18_word.exe');
 DeleteFile('c:\documents and settings\qwe\ms18_word.exe');
 DeleteFile('c:\windows\usb_magr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Sibirian]

Выполнено. Карантин выложил с результатом Файл сохранён как090729_134535_virus_4a701a3f0e128.zipРазмер файла249607MD5744938bc8e9c1a3bb8f2eade575d2ba8логи выкладываю.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделать новый лог virusinfo_syscheck.zip

[Sibirian]

Выполнено. Выкладываю.

[thyrex]

Теперь порядок. Что с проблемой?

[Sibirian]

Доброе утро - вроде успокоилось все. Сейчас антивирусами все прогоню, в режиме защиты не пищит... Наверное, спасибо - порвали врагов))).

Алексей

Добавлено через 59 минут

Нет детектов! СПАСИБО!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 6
• Обработано файлов: 57
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\qwe\ms18_word.exe - Backdoor.Win32.HareBot.ig ( DrWEB: Trojan.DownLoad.41506 )
  2. c:\recycler\s-1-5-21-7596165920-6065426947-727308249-2203\mwau.exe - Trojan.Win32.Agent.crim ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.C )
  3. c:\recycler\s-1-5-21-7857559606-7046050793-135073055-9879\mwau.exe - Trojan.Win32.Agent.crim ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.C )
  4. c:\recycler\s-1-5-21-9025096069-8627796047-753190995-6147\csvcs.exe - Trojan.Win32.Agent.crim ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.C )
  5. c:\windows\mrmngr.exe - Backdoor.Win32.IRCBot.lgq ( DrWEB: Trojan.MulDrop.32672 )
  6. c:\windows\mrmngr.exe - Trojan.Win32.Buzus.bqur ( DrWEB: Win32.HLLW.Lime.8 )
  7. c:\windows\msddrv42.exe - Backdoor.Win32.SdBot.obb ( DrWEB: Trojan.Siggen.3093 )
  8. c:\windows\system32\ms18_word.exe - Backdoor.Win32.HareBot.ig ( DrWEB: Trojan.DownLoad.41506 )
  9. c:\windows\usb_magr.exe - Net-Worm.Win32.Kolab.deg ( DrWEB: Win32.HLLW.Lime.8 )
  10. c:\windows\usb_mgr.exe - Backdoor.Win32.SdBot.ocx
  11. c:\windows\usb_mgr.exe - Backdoor.Win32.IRCBot.lgq ( DrWEB: Trojan.MulDrop.32672 )
  12. c:\windows\win64svc.exe - Trojan.Win32.Agent.crim ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.C )