Junior Member
Вес репутации
60
вирус medichi
Здравствуйте.
Компьютер с вирусом medichi.
Заблокирован редактора реестра, диспетчера задач, панель управления. Вирус запускает копирование чего-то куда-то, постоянно вылезают предупреждения. McAfee не устанавливается. Касп 7 устанавливается, но не запускается. NOD и устанавливается, и что-то лечит, но не вылечивает.
CureIT из безопасного режима не запускается.
Восстановление системы не удаётся отключить (заблокированно).
AVZ запускается только после переименования.
hijackthis запускается без переименований.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
раз запускаются, сделайте логи...
Junior Member
Вес репутации
60
Вот и логи.
Не сразу заметил, как их прикреплять
Спасибо.
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('xlibgfl254.dll','');
QuarantineFile('wowfx.dll','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\windsk.dll','');
QuarantineFile('C:\WINDOWS\system32\user32.dat','');
QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('c:\windows\medichi2.exe','');
QuarantineFile('c:\windows\medichi.exe','');
QuarantineFile('IEXPLORE.EXE','');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\murka.dat');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16076
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll
Повторите логи
Junior Member
Вес репутации
60
Всё сделал.
Архив отправил, новые логи прикреплены.
Жду дальнейших указаний
Спасибо
Вложения
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
DeleteFile('C:\WINDOWS\system32\user32.dat');
DeleteFile('C:\WINDOWS\windsk.dll');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
BC_DeleteFile('c:\windows\medichi.exe');
BC_DeleteFile('c:\windows\medichi2.exe');
BC_QrFile('wowfx.dll');
BC_QrFile('xlibgfl254.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16076
По поводу некоторых файлов подождём ответ вирлаба.
Поищите при помощи авз 47516AFF.exe и C56F5804.exe если будут то заархивируйте и тоже вышлите по правилам.
Последний раз редактировалось wise-wistful; 07.01.2008 в 20:49 .
найдите при помощи АВЗ ... 47516AFF.exe и пришлите по правилам ...
C:\WINDOWS\murka.dat TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys -чистый
C:\WINDOWS\system32\DRIVERS\epfwtdir.sys -чистый
C:\WINDOWS\System32\Drivers\Beep.SYS TR/Obfuscated.ML
C:\WINDOWS\windsk.dll TR/Agent.AGHG.1
C:\WINDOWS\system32\user32.dat TR/Agent.Small.SVP
C:\WINDOWS\system32\MSCORE.DLL Trojan:Win32/Rolnoxo.A.dll
C:\Documents and Settings\All Users\Документы\Settings\bot.dll TR/Proxy.Xorpix.CQ
c:\windows\medichi2.exe TR/Small.WV.2
c:\windows\medichi.exe TR/Agent.5632.101
пофиксите
Код:
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
выполните скрипт...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('C:\WINDOWS\windsk.dll');
DeleteFile('C:\WINDOWS\system32\user32.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\xpdx.sys');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\MSCORE.DLL');
BC_DeleteSvc('xpdx');
BC_DeleteSvc('Beep');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи....
Последний раз редактировалось V_Bond; 07.01.2008 в 21:15 .
Junior Member
Вес репутации
60
Файлы 47516AFF.exe и C56F5804.exe avz не находит.
Карантин переслал.
Логи выложил.
Диспечер задач заработал, копирование прекратилось.
Однако проводник перестал работать, скопировать файлы удалось только через total commander. Так же система не показывает запущенные приложения на панели задач.
Спасибо за помощь.
Вложения
C:\WINDOWS\System32\svchost.exe - Trojan.Win32.Patched.bh
Модифицированный (патченный) системный файл.
Этот файл нельзя удалять!!!
Его нужно заменить на чистый (заменить с дистрибютива windows (найти Svchost.ex_ и заменить _ на e).
Скачайте и пройдитесь по системе AVPtool он должен вылечить Trojan.Win32.Patched.bh
Junior Member
Вес репутации
60
svchost.exe скопировал с работающей системы.
Запустил проверку NOD32. Нод трудился долго и плодотворно; где-то выудил больше десяти тысяч нареканий, всё залечил. Перезагрузился, вроде всё заработало.
Надеюсь на этом всё закончиться=)
Всем кто помогал огромное спасибо.
Логи повторите, посмотрим, что там
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\all users\\документы\\settings\\bot.dll - Trojan-Proxy.Win32.Xorpix.cq (DrWEB: Trojan.Spambot.2552) c:\\windows\\medichi.exe - Trojan-Downloader.Win32.Small.hhm (DrWEB: Trojan.Fakealert.39 c:\\windows\\medichi2.exe - Trojan.Win32.Small.wv (DrWEB: Trojan.Click.5014) c:\\windows\\murka.dat - Trojan-Proxy.Win32.Small.in (DrWEB: Trojan.Proxy.1739) c:\\windows\\system32\\drivers\\beep.sys - Trojan.Win32.Obfuscated.ml (DrWEB: Trojan.MulDrop.9325) c:\\windows\\system32\\mscore.dll - Trojan.Win32.Zapchast.dz (DrWEB: Trojan.DownLoader.39301) c:\\windows\\system32\\svchost.exe - Trojan.Win32.Patched.bh (DrWEB: Trojan.DownLoader.39301) c:\\windows\\system32\\user32.dat - Trojan-Clicker.Win32.Agent.ph (DrWEB: Trojan.Click.5014) c:\\windows\\windsk.dll - not-a-virus:AdWare.Win32.Agent.yz (DrWEB: Trojan.DownLoader.38353)