Крутой вирус

**Виктор71** · 09.06.2008, 13:12

Здравствуйте. Хочу просить совета у специалистов как избавится от исключительно коварного вируса, который не удается удалить даже переустановкой операционки. Вирус блокирует запуск программы AVZ4.30, удалось ее все-же запустить переименовав файл в ZVA.EXE утилита фактически ничего не нашла. Но в менеждере процессов постоянно появляются процессы с названиями wpabaln.exe winkfhfh.exe
winjyefa.exe и тп. до бесконечности. Сразу после переустановки Windows XP, еще до запуска какой бы то нибыло программы, до загрузки драйвера модема, начинается та же история. Что делать?
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Shu_b** · 09.06.2008, 13:15

нужны логи согласно правил.

**Виктор71** · 09.06.2008, 14:04

вот логи и файлы созданные вирусом

[moderated: файлы присылаются в соответствии с приложением 3 правил]

**akok** · 09.06.2008, 14:12

winmlfnai.exe - Trojan.Proxy.3230
winlrqps.exe - Trojan.Proxy.3230
winjvroek.exe - Trojan.Spambot.3364

Добавлено через 4 минуты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 QuarantineFile('C:\WINDOWS\System32\drivers\gnvfuq.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

**Виктор71** · 10.06.2008, 01:05

спасибо. скрипт выполнил, avz стал загружаться без переименования имени его исполняемого файла, но вскоре все возобновилось. Вирус увеличивает на несколько сот килобайт размеры EXE файлов программ на диске, в т.ч. и самого avz.exe Переустановка системы не помогает.. Где он сидит? в boot секторе или в flash bios записался, тогда вообще хана. В безопасном режиме не грузится.

Нашел сходную тему, похоже там то-то же вирус
http://virusinfo.info/showthread.php?t=24156

Прошу прощения у уважаемых администраторов форума, что-что то высылаю не в соответствии с установленными правилами, но комп у меня безбожно тормозит, и лазить по форуму изучая правила я пока не имею возможности. Во вложении зараженная копия avz.exe

Очень прошу помочь обезвредить вирус, работать невозможно..

**akok** · 10.06.2008, 01:14

Логи повторите.

**Виктор71** · 10.06.2008, 01:29

выкладываю новые логи

**Виктор71** · 10.06.2008, 01:32

вот еще лог с AVZ, расширение переименовал с htm на log

**wise-wistful** · 10.06.2008, 01:32

Нам вообще то нужны логи согласно правил, почитайте внимательно и вложите те логи, которые нам нужны.

**Виктор71** · 10.06.2008, 02:03

вот здесь обновленные логи avz(2), hijackthis(1) http://stream.ifolder.ru/6918460
Здесь модифицированный вирусом файл avz.exe http://stream.ifolder.ru/6918507

пароль virus

**pig** · 10.06.2008, 02:09

А ещё раз правила прочитать?

**Виктор71** · 10.06.2008, 02:15

вот еще один лог, после выполнения скрипта сбора информации для раздела "Помогите". Перед этим я выполнил ранее рекомендованный здесь скрипт от Akok, что-бы иметь возможность подключится к сети.

**akok** · 10.06.2008, 11:30

Давайте начнем лечение AVZ.exe модифицирован Virus.Win32.Sality.z, он лечится так.
Но почему я не вижу в логах реакцию AVZ на, патч вирусом? Почему файлы проходят по базе безопасных?

Ладно и скрипт тогда:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('aic32p', 4);
 StopService('aic32p');
 QuarantineFile('C:\WINDOWS\System32\drivers\gnvfuq.sys','');
 DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winjwnr.exe');
 DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winsejjqu.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\gnvfuq.sys');
 DeleteService('aic32p');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Если честно немного недопонял сюрреализма ситуации.

Добавлено через 2 минуты

Код:

	Platform: Windows XP SP1 (WinNT 5.01.2600)
	MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

н-да....уже SP3 увидел свет, а собираете по сети вирусню. Обновиться до SP3+IE7+хотфиксы.....Все это будете выполнять после лечения.

**PavelA** · 10.06.2008, 11:33

Как насчет того, чтобы отключить "Восст. системы"?

Скрипт для удаления:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('aic32p');
 DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winjwnr.exe');
 DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winsejjqu.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\gnvfuq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После этого сделай новые логи.

**Виктор71** · 11.06.2008, 04:18

Скачал утилиту DrWeb CureIt, программа нашла почти во всех EXE файлах вирус Win32 Sector 5. После лечения, еще раз переустановил ОС, вроде пока чисто.
По всей видимости основной вирус подкачивал мелкие трояны и спам боты.
Еще раз хочу поблагодарить всех хелперов.

**CyberHelper** · 22.02.2009, 05:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \\avz.exe - Virus.Win32.Sality.z (DrWEB: Win32.Sector.5)

Крутой вирус (заявка № 24289)

Опции темы

Крутой вирус

Итог лечения

Похожие темы

Крутой руткит

Ваши права в разделе