Вирус который не поддается Антивирусам

[xan08]

ПК находится в доменной сети, когда и как появился вирус на ПК неизвестно.

Вирус делает скрытыми файлы .exe приписывая им вначале "zw" (пр. zwAVZ.exe), а вместо оригинальных .exe делает .lnk со следующей директорией %windir%\system32\RunDll32.exe shell32.dll,ShellExec_RunDLL ".\HijackThis.exe" (так выглядит путь к HijackThis.exe).

На момент появления вируса стоял сетевой Dr.Web ver. 6.0 с постоянно обновляющимися базами. В устранении проблем участвовали cureIT и AVZ, но увы...находят только последствия, а саму причину не могут.

Все логи сделаны, после удаления сетевого Dr.Web.

[Info_bot]

Уважаемый(ая) xan08, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Сделайте лог Gmer

[xan08]

Лог Gmer

[mrak74]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится vv46ngvo.exe случайное имя утилиты (gmer)

Код:

vv46ngvo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\khqxskaac"
vv46ngvo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\khqxskaac"
vv46ngvo.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

[xan08]

После применения bat-ника

[mrak74]

Инструкции и утилиты для полного удаления остатков антивирусных продуктов для удаления остатков DrWEB.

Сделайте лог полного сканирования MBAM с подключенными флешками которыми пользовались на данном компьютере.

[xan08]

съемные носители подключить невозможно, т.к. это люди изредка приносящие на своих флешках документы на печать. Человек сидящий за этим ПК внешние носители не использует.

На данный момент замечено, что вирус стал создавать .scr файлы с именами "Порно, новая папка, ХХХ и др.", а также после лечения помимо .lnk стали создаваться папки .exe (смотреть скрин). Зеленым выделены оригинальные экзешники с припиской zw.

[thyrex]

Сделайте лог ComboFix

[xan08]

Ребят мб эта бяка вовсе не на системном диске живет?

Возможно самое главное забыл сказать...cureIT идентифицирует зараженные файлы, как Trojan.Packed 22267

[xan08]

Проблема все еще существует...отправил в Dr.Web заявку в четверг, пока молчат.

[Techno]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.

Код:

KillAll::

File::


Driver::


NetSvc::
khqxskaac

Folder::


Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


Установите:
http://technet.microsoft.com/ru-ru/s...letin/ms08-067
http://technet.microsoft.com/ru-ru/s...letin/ms08-068
http://technet.microsoft.com/ru-ru/s...letin/ms09-001

Установите новый Internet Explorer, а также все доступные обновления для Windows

[xan08]

Отчет с CFScript.txt

[Techno]

В реестре нужно удалить разделы:

Код:

HKLM\SYSTEM\CurrentControlSet\Services\khqxskaac
HKLM\SYSTEM\ControlSet002\Services\khqxskaac

Обновления поставили?

[xan08]

Здравствуйте! Обновления поставил, реестр почистил. Сейчас удалю все "левые" файлы и буду наблюдать.

- - - Добавлено - - -

Решение не помогло. khqxskaac в реестре теперь нет, а файлы по прежнему создаются.

[Techno]

Выполните в АВЗ скрипт отсюда

- Повторите логи virusinfo_syscheck.zip и hijackthis.log.

- - - Добавлено - - -

Эти bat-файлы Ваши?

Код:

acad_settings_archiv.bat
copy_personal_book_excel.bat
mk_work_dir.bat

[xan08]

Да. Наши.

[mrak74]

- Повторите логи virusinfo_syscheck.zip и hijackthis.log.

Повторные логи забыли приложить к теме.