Buzus.btrs и LSASS.exe

[ghizma]

Добрый день!
После включения компьютера Касперский обнараружил
Заражен: троянская программа Trojan.Win32.Buzus.btrs C:\DOCUMENTS AND SETTINGS\DENIS\APPLICATION DATA\MICROSOFT\WINDOWS\LSASS.EXE 65,5 КБ
После удаления компьютер сам перезагрузился, и при включении появляются ошибки уведомления отправки отчетов в Микрософт якобы программы не могут запустится из за ошибки kernel такие программы из автозагрузки как Explorer, pragma, kasperskii/

После последующего включения ошибки повторяются!

Как лечить помогите плиз!

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

O4 - HKLM\..\Run: [Windows Server] C:\WINDOWS\system32\windows32.exe

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\windows32.exe','');
 DeleteFile('C:\WINDOWS\system32\windows32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[ghizma]

Логи после выполнения скрипта

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\program files\platwine\plat2y.exe');
 QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
 QuarantineFile('c:\program files\platwine\plat2y.exe','');
 DeleteFile('c:\program files\platwine\plat2y.exe');
 DeleteFile('C:\WINDOWS\system32\windrvNT.sys');
 DeleteFileMask('c:\program files\platwine','*.*',true);
 DeleteFileMask('%temp%','*.*',true);
 DeleteDirectory('c:\program files\platwine');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[ghizma]

Platwine - банковская программа нужная поэтому строку с делет платвин убрал из скрипта, а прога попала наверно в логи потому что запускал её во время проверки АВЗ. в карантине оставил всетаки. делаю логи...

Ах да поле выполнения скрипта комп не перезагрузился исчезли все иконки осталась только картинка рабочего стола не на какие кнопки не реагировал и на контроалтделет тоже поэтому комп отрубил с ресета.

[Rene-gad]

Platwine - банковская программа нужная поэтому

Ну так карантин закачайте, плиз, как просил - и мы будем знать, что нужная

попала наверно в логи потому что запускал её во время проверки АВЗ

Правила читаем:

6. .... закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер ...

[ghizma]

был в отезде. поэтому так долго. высылаю GMER log и др логи и карантин.

[AndreyKa]

Скачайте новую версию http://z-oleg.com/avz4.zip
Обновите базы AVZ.
Сделайте новые логи AVZ.

Proxy сервер 85.140.195.82:5870 вы сами прописали в настройках?

[ghizma]

Proxy сервер 85.140.195.82:5870 сам прописал когдато пользовался но сейчас не активно вроде!

[Rene-gad]

Удалите Bonjour.

В логах ничего подозрительного. Жалобы есть?

[ghizma]

Вроде ничего подозрительного, кроме того что, интернет иногда при вводе в адресную строку виснет, и пока не отключу защиту касперского не загружается ничего. После прерывания защиты антивируса на 3 сек идет информация с нета потом опять включаю каспера.

А в остальном все ок. Большое вам спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены