Логи после блокировщика

**tehnik34** · 17.04.2012, 12:57

Сейчас еще нашел Conficker, помогите совлдадать с заразой.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.04.2012, 12:58

Уважаемый(ая) tehnik34, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 17.04.2012, 13:17

Здравствуйте!

Пролечитесь согласно рекомендациям отсюда.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\9.tmp','');
 QuarantineFile('C:\WINDOWS\system32\6.tmp','');
 QuarantineFile('C:\WINDOWS\system32\5.tmp','');
 QuarantineFile('C:\WINDOWS\system32\4.tmp','');
 QuarantineFile('C:\WINDOWS\system32\3.tmp','');
 QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
 QuarantineFile('C:\WINDOWS\system32\b.tmp','');
 QuarantineFile('C:\WINDOWS\system32\a.tmp','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\dplaysvr.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\dplaysvr.exe');
 DeleteFile('C:\WINDOWS\system32\a.tmp');
 DeleteFile('C:\WINDOWS\system32\b.tmp');
 DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
 DeleteFile('C:\WINDOWS\system32\3.tmp');
 DeleteFile('C:\WINDOWS\system32\4.tmp');
 DeleteFile('C:\WINDOWS\system32\5.tmp');
 DeleteFile('C:\WINDOWS\system32\6.tmp');
 DeleteFile('C:\WINDOWS\system32\9.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','dplaysvr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dplaysvr');
 BC_ServiceKill('bdatrt');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "[color=Red]Прислать запрошенный карантин[/
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Сделайте логи RSIT.

Сделайте лог полного сканирования МВАМ.

Обязательно установите все новые обновления для Windows (иначе вирус будет постоянно возвращаться).

**tehnik34** · 17.04.2012, 21:35

логи прикладываю AVZ и HJThis, про карантин пишет: Ошибка загрузки. Данный файл уже был загружен.

Лог rsist и mbam делаю

**tehnik34** · 17.04.2012, 22:05

Логи, обновление поставлю позже

**Techno** · 18.04.2012, 10:41

- Удалите в MBAM:

Код:

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_PO_SYSTEM_SERVICE (Virus.Porex) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\PO system service (Virus.Porex) -> Действие не было предпринято.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: -ВD<$9H…EФ&к»rҐ\xЄ#°ЧЎ~`Дту6ё2…QќDг
МimЅ}"Ч¬§ЯtЭ^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнeOпjwЃ‰юЦьПщRLіЁы“¶ћK3]?*ЊиШ¦Уzн^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe2*¦^ю·мW`/РЛ3ъ^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe -> Действие не было предпринято.

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\poserv.exe','');
DeleteFile('C:\WINDOWS\poserv.exe');
QuarantineFile('C:\WINDOWS\system32\8.tmp','');
DeleteFile('C:\WINDOWS\system32\8.tmp');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\MjQxQ0JDNEI3RTA5ODg0MT');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S10255138');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S1136828');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S1138189');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S11419394');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S13387158');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S16112398');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S17711631');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S4616010');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S4918174');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S72154181');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S841877');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S8814392');
regkeyParamdel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('PO system service');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip'); 
end.

Файл quarantine1.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Повторите лог РСИТ.

**regist** · 18.04.2012, 11:31

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\wyfseggd.exe','');
 QuarantineFile('C:\WINDOWS\system32\8.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
 DeleteFile('C:\Documents and Settings\All Users\wyfseggd.exe');
 DeleteFile('C:\WINDOWS\system32\8.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\MjQxQ0JDNEI3RTA5ODg0MT');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S10255138');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S1136828');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S1138189');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S11419394');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S13387158');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S16112398');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S17711631');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S4616010');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S4918174');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S841877');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S8814392');
 RegKeyDel('HKEY_LOCAL_MACHINE ','software\microsoft\shared tools\msconfig\startupreg\S72154181');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 ExecuteRepair(9);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Удалите в MBAM

Код:

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_PO_SYSTEM_SERVICE (Virus.Porex) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\PO system service (Virus.Porex) -> Действие не было предпринято.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: -ВD<$9H…EФ&к»rҐ\xЄ#°ЧЎ~`Дту6ё2…QќDг
МimЅ}"Ч¬§ЯtЭ^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнeOпjwЃ‰юЦьПщRLіЁы“¶ћK3]?*ЊиШ¦Уzн^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe2*¦^ю·мW`/РЛ3ъ^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe^л™сґнe -> Действие не было предпринято.

- Сделайте повторные логи по virusinfo_syscheck.zip; log.txt, info.txt.
- Новый лог сканирования MBAM.

**tehnik34** · 18.04.2012, 12:04

Про карантин пишет тоже самое. лог РСИТ прикладываю

**Techno** · 18.04.2012, 12:42

Проблемы какие-нибудь остались?

**tehnik34** · 19.04.2012, 08:31

нет

Логи после блокировщика (заявка № 119328)

Опции темы