Фильтры-блокировки на virusinfo и сайты антивирусов

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
 DeleteService('mlicekpi6aa3ywy');
 QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\7.tmp','');
 QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\4.tmp','');
 DeleteFile('C:\WINDOWS\system32\System.exe');
 DeleteFile('c:\windows\system32\fyttaquy.exe');
 DeleteFile('c:\docume~1\user\locals~1\temp\2204.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\3743911.exe');
 DeleteFile('C:\Documents and Settings\User\Application Data\yftza.exe');
 DeleteFile('C:\WINDOWS\system32\fyttaquy.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[Oleg555]

Попробовал передать архив в "Прислать запрошенный карантин", как это описано в приложении 3, - справа в "Файл-Просмотр карантина" выбрал все мои 2 файла для архивации в virus.zip (оба имеют название "?"). Создался архив. Я его попробовал отослать - получил сообщение "Результат загрузки -
Ошибка загрузки. Данный файл уже был загружен".
Вконце концов как я потом выяснил архив оказался пустым (4 кб).

[Oleg555]

Новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip)

[Rene-gad]

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\gouquiloh.exe');
 StopService('eeufrvoo');
 StopService('ddnxscjm');
 DeleteService('eeufrvoo');
 DeleteService('ddnxscjm');
 BC_DeleteSvc('eeufrvoo');
 BC_DeleteSvc('ddnxscjm');
 DeleteFile('J:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe');
 DeleteFile('J:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\kogoo.exe');
 DeleteFile('c:\windows\system32\gouquiloh.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\ddnxscjm.sys');
 ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог полного сканирования MBAM.

[Oleg555]

Лог MBAM "mbam-log-2010-07-13 (16-35-31).txt"

[Oleg555]

О этом логе шла речь? (Я правильный лог отправил?)

[Oleg555]

Скажите, пожалуста, это проблема уже решена? Или этот случай настолько безнадежен? А то я незнаю, что делать, ответа уже жду 3 дня и не могу разобратся, решена ли моя проблема уже (но помоему вирусами на компе еще попахивает). Может мне всё же придется переустанавливать систему? Или это уже всё нормально с ней, просто нужно еще раз проверить на антивирусе?

[polword]

1. удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\1FE758E9 (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\20800E40 (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\2083383D (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\208A0C36 (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\20940A2B (Trojan.Downloader) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00141.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00143.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00144.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-11\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-11\avz00021.dta (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> No action taken.

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\SecTaskMan\userini.exe.q_Quarantine_804DA00_q',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\307083.exe',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM10.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM12.tmp ','');
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM13.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM14.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM16.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM7.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM8.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9A.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMA.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMB.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMC.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMD.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TME.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMF.tmp',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\3YPCG7KP\update[1].exe',''); 
  QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I0GP359C\update[1].exe',''); 
  QuarantineFile('C:\Program Files\Borland\Delphi7\Projects\Project1.exe ',''); 
  QuarantineFile('C:\WINDOWS\system32\GreenFields.scr',''); 
  QuarantineFile('C:\WINDOWS\system32\augy.vko','');
  QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv011278399986.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv021278400048.exe ','');
  QuarantineFile('C:\WINDOWS\Temp\wpv091278399804.exe ','');
  QuarantineFile('C:\WINDOWS\Temp\wpv091278400420.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv121278399629.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv151278399728.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv361278399382.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv401278399429.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv581278399510.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv661278399382.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv751278400473.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv771278399858.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv841278400146.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv911278400197.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv971278400097.exe',''); 
  QuarantineFile('C:\WINDOWS\Temp\wpv151278400375.exe',''); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\307083.exe'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM10.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM12.tmp');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM13.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM14.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM16.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM7.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM8.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9A.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMA.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMB.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMC.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMD.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TME.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMF.tmp'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\3YPCG7KP\update[1].exe'); 
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I0GP359C\update[1].exe'); 
 DeleteFileMask('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 DeleteFile('C:\WINDOWS\Temp\wpv011278399986.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv021278400048.exe');
 DeleteFile('C:\WINDOWS\Temp\wpv091278399804.exe');
 DeleteFile('C:\WINDOWS\Temp\wpv091278400420.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv121278399629.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv151278399728.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv361278399382.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv401278399429.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv581278399510.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv661278399382.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv751278400473.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv771278399858.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv841278400146.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv911278400197.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv971278400097.exe'); 
 DeleteFile('C:\WINDOWS\Temp\wpv151278400375.exe'); 
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[Oleg555]

polword, большое Вам спасибо за указания! Всё проделал, как оговаривалось. Карантин выслал. Логи AVZ, Hijackthis и MBAM прилагаю (virusinfo_syscure.zip так как нигде не упоминался я не отправлял).

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe','');
 DeleteService('eeufrvoo');
 DeleteService('mlicekpi6aa3ywy');
 QuarantineFile('C:\WINDOWS\system32\kipufazug.exe','');
 QuarantineFile('C:\WINDOWS\system32\kogoo.exe','');
 TerminateProcessByName('c:\windows\temp\wpv921278400048.exe');
 QuarantineFile('c:\windows\temp\wpv921278400048.exe','');
 TerminateProcessByName('c:\windows\system32\fyttaquy.exe');
 QuarantineFile('c:\windows\system32\fyttaquy.exe','');
 DeleteFile('c:\windows\system32\fyttaquy.exe');
 DeleteFile('c:\windows\temp\wpv921278400048.exe');
 DeleteFile('C:\WINDOWS\system32\kogoo.exe');
 DeleteFile('C:\WINDOWS\system32\kipufazug.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','deri');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','fymor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('c:\windows\explorer.exe:userini.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fymor (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\fyttaquy.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\Temp\wpv921278400048.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\explorer.exe:userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\All Users\Application Data\SecTaskMan\userini.exe.q_Quarantine_804DA00_q (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.34\avz434\avz434\Quarantine\2010-07-16\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.34\avz434\avz434\Quarantine\2010-07-16\avz00002.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken.

Сделайте новые логи + лог МВАМ

[Oleg555]

Карантин выслал. Передаю все запрошенные логи:

[thyrex]

Если ВКонтакте блокировали сами, тогда на выписку

Установите Adobe Acrobat 9.3 или удалите старый

[Oleg555]

Нет, я не умею блокировать вручную Вконтакте, кроме как скачать что-нибудь по ссылке со спама и потом активировать содержимое спама)))
Часто было на этой недели, что вконтакте не думал загружатся - тогда приходилось чистить Hosts или перезапускать Оперу.
Adobe Acrobat 9 я не качал (там по ссылке после регистрации писало что-то на английском, что мой браузер не совместим с этой программой), поэтому я лучше свой удалю. Помоему, Acrobat - это и есть Adobe Reader, вообщем я его косанул через "Установка и удаление программ".

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

[Oleg555]

Всё выполнил, как вы указывали.

Добавлено через 25 минут

теперь что нужно сделать, возможно логи?

[thyrex]

Если в файле hosts не осталось лишних записей, то больше ничего не нужно

Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый

[Oleg555]

в Hosts вроде порядок.
Пробовал удалить старый Adobe Acrobat 7 (через RegEdit) - всё удалило под чистую, кроме одного параметра "(По умолчанию)" типа Reg_SZ с адрессом С:/Program Files/Adobe/Acrobat 7.0/ActiveX/ . А ведь папки то С:/Program Files/Adobe/Acrobat 7.0/ уже нету..как оно может туда ссылатся? может пускай тот параметр уже остается, а то у меня не выходит его удалить. Параметр этот ведь не сильно подозрительный?

[thyrex]

Он вообще не подозрительный.

[Oleg555]

У меня не отправляются в ответ сообщения((

[thyrex]

какие и куда?