Win32/Statik

**Slim Line** · 24.11.2009, 21:05

При подключении к инету вылазят сообщения с нода
AMON файл C:\WINDOWS\system32\X6DEKU018B\G001.exe вероятно неизвестный NewHeur_PE вирус.
AMON файл C:\WINDOWS\system32\ZBXQWJ6NBJ\C023.exe вероятно модифицированный Win32/VB.NXN троянская программа
AMON файл C:\WINDOWS\system32\14QR2GEDOV\A023.exe модифицированный Win32/Statik потенциально нежелательная программа
Помогите пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 24.11.2009, 21:15

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
ExecuteAVUpdate;
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\EwSORZTkJECA.dll','');
 DeleteService('WinHelp32');
 QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 DeleteService('Windows Help File');
 QuarantineFile('C:\WINDOWS\system32\jvssv.exe','');
 DeleteService('National Web CC');
 QuarantineFile('C:\WINDOWS\system32\JRC6GJYQD7\I.exe','');
 DeleteService('fg');
 QuarantineFile('C:\WINDOWS\system32\JRC6GJYQD7\J001.exe','');
 DeleteService('dvd4');
 QuarantineFile('C:\WINDOWS\Atidvd4.exe','');
 DeleteService('BMJKHPPWYHBPW');
 QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\BMJKHPPWYHBPW.exe','');
 DeleteService('BackGround Switch');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 QuarantineFile('c:\windows\system32\pderunsrv.dll','');
 QuarantineFile('C:\WINDOWS\System32\pdelogsrv.dll','');
 QuarantineFile('c:\docume~1\alluse~1\drm\jiruj.dll','');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\BMJKHPPWYHBPW.exe');
 DeleteFile('C:\WINDOWS\Atidvd4.exe');
 DeleteFile('C:\WINDOWS\system32\JRC6GJYQD7\J001.exe');
 DeleteFile('C:\WINDOWS\system32\JRC6GJYQD7\I.exe');
 DeleteFile('C:\WINDOWS\system32\jvssv.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
 DeleteFile('C:\WINDOWS\system32\EwSORZTkJECA.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuduoServic\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61189

3. Повторите логи.

**Slim Line** · 24.11.2009, 21:59

Спасибо за оперативность Алесандра

Карантин отправил. Вот логи.

**Aleksandra** · 24.11.2009, 22:22

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\DRM\mifln.dll','');
 DeleteService('bk');
 QuarantineFile('C:\WINDOWS\system32\VGJ48PZ8VE\D001.exe','');
 QuarantineFile('C:\WINDOWS\Ati2wvxx.exe','');
 QuarantineFile('C:\WINDOWS\Ati2et.exe','');
 DeleteService('grsg');
 DeleteService('fen');
 QuarantineFile('C:\WINDOWS\system32\VGJ48PZ8VE\G001.exe','');
 QuarantineFile('c:\windows\system32\rbmctnc.dll','');
 QuarantineFile('c:\windows\system32\pderunsrv.dll','');
 QuarantineFile('c:\docume~1\alluse~1\drm\jiruj.dll','');
 QuarantineFile('c:\windows\system32\vgj48pz8ve\g001.exe','');
 TerminateProcessByName('c:\windows\system32\vgj48pz8ve\g001.exe');
 QuarantineFile('c:\windows\atidfe.exe','');
 TerminateProcessByName('c:\windows\atidfe.exe');
 DeleteFile('c:\windows\atidfe.exe');
 DeleteFile('c:\windows\system32\vgj48pz8ve\g001.exe');
 DeleteFile('c:\docume~1\alluse~1\drm\jiruj.dll');
 DeleteFile('c:\windows\system32\pderunsrv.dll');
 DeleteFile('C:\WINDOWS\system32\VGJ48PZ8VE\G001.exe');
 DeleteFile('C:\WINDOWS\system32\VGJ48PZ8VE\D001.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\DRM\mifln.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nwcworkstation\Parameters','ServiceDll');
 DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61189

3. Повторите логи.

**Slim Line** · 24.11.2009, 23:00

всё сделал, карантин у вас, логи прикрепил

**Aleksandra** · 24.11.2009, 23:39

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\763NM0CO0W\I.exe','');
 DeleteService('National Web CC');
 QuarantineFile('C:\WINDOWS\system32\WOLV5NZIFC\I.exe','');
 DeleteService('Ati2ewxx');
 QuarantineFile('C:\WINDOWS\Ati2wvxx.exe','');
 DeleteService('Ati2et');
 QuarantineFile('C:\WINDOWS\Ati2et.exe','');
 DeleteService('AppITSrv');
 QuarantineFile('c:\windows\system32\rfmetxc.dll','');
 QuarantineFile('c:\windows\system32\appit\smss.exe','');
 TerminateProcessByName('c:\windows\system32\appit\smss.exe');
 DeleteFile('c:\windows\system32\appit\smss.exe');
 DeleteFile('c:\windows\system32\rfmetxc.dll');
 DeleteFile('C:\WINDOWS\Ati2et.exe');
 DeleteFile('C:\WINDOWS\Ati2wvxx.exe');
 DeleteFile('C:\WINDOWS\system32\WOLV5NZIFC\I.exe');
 DeleteFile('C:\WINDOWS\system32\763NM0CO0W\I.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61189

3. Повторите логи.

**Slim Line** · 26.11.2009, 12:36

Вот логи, карантин тоже выслал

**Aleksandra** · 26.11.2009, 18:27

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\prslogsrv.dll','');
 DeleteFile('C:\WINDOWS\system32\prslogsrv.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61189

3. Повторите логи.

**CyberHelper** · 27.11.2009, 18:27

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 12
В ходе лечения обнаружены вредоносные программы:
1. c:\docume~1\alluse~1\drm\jiruj.dll - Backdoor.Win32.Agent.andj ( DrWEB: BackDoor.Siggen.3787, BitDefender: Backdoor.Generic.228493 )
2. c:\docume~1\alluse~1\drm\mifln.dll - Trojan-PSW.Win32.Bjlog.dqw ( DrWEB: Adware.Baidu.1447, AVAST4: Win32:Trojan-gen )
3. c:\windows\atidfe.exe - Trojan-Downloader.Win32.Ogran.dh ( DrWEB: BackDoor.ClDdos.9, AVAST4: Win32:Malware-gen )
4. c:\windows\system32\appit\smss.exe - Backdoor.Win32.SdBot.pqv ( DrWEB: BackDoor.IRC.Sdbot.6615, AVAST4: Win32:Malware-gen )
5. c:\windows\system32\ewsorztkjeca.dll - Trojan.Win32.Veslorn.m
6. c:\windows\system32\jvssv.exe - Trojan-DDoS.Win32.Agent.im ( DrWEB: DDoS.Attack.230, BitDefender: Backdoor.Generic.228848, AVAST4: Win32:Dogrobot [Drp] )
7. c:\windows\system32\pderunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wwhv ( DrWEB: Trojan.DownLoad1.10707, BitDefender: DeepScan:Generic.Peed.7927FC4B, AVAST4: Win32:Malware-gen )
8. c:\windows\system32\rbmctnc.dll - Backdoor.Win32.Agent.ajbw ( DrWEB: BackDoor.Siggen.138, BitDefender: Trojan.Generic.2527594, NOD32: Win32/Agent.DKR trojan, AVAST4: Win32:PcClient-ZE [Trj] )
9. c:\windows\system32\vgj48pz8ve\g001.exe - Trojan.Win32.Scar.arzw ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Win32/Statik (заявка № 61189)

Опции темы

Win32/Statik

Итог лечения

Похожие темы

Win32/statik

Win32/Statik

Win32/Statik

опять Win32/Statik и Trojan-Spy.Win32.Zbot.cjs

Win32/Statik

Метки для этой темы

Ваши права в разделе