Junior Member
Вес репутации
56
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну и нахватали вы всякой дряни...
Код:
Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Заархивируйте файлик avz.exe с паролем virus .
Пришлите его по ссылке http://virusinfo.info/upload_virus.php?tid=42348 .
Сделайте то, что написано тут http://virusinfo.info/showthread.php?t=15927 (Желательно использовать вариант с LiveCD).
Повторите логи.
Junior Member
Вес репутации
56
Заархивируйте файлик avz.exe с паролем virus .
Залил.
Код:
Файл сохранён как090323_213003_avz_49c7d52b72d2b.zipРазмер файла714404MD590a0ff41e46bbd20ca9d7d55b5cb0d39
Было сделано с помощью cureit затем rmvirut от AVP.
rmvirut ругался почти на все .exe
Логи прилагаются.
Немного полегчало после удаления файла xjxljye32.exe нод его назвал win32.Injector.CT
Благодарю за столь быстрый ответ
Вложения
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('xjxljye.dll','');
QuarantineFile('F:\WINDOWS\system32\webcheck.dll','');
QuarantineFile('F:\WINDOWS\system32\pdbcopy.exe','');
QuarantineFile('F:\WINDOWS\system32\makehm.exe','');
QuarantineFile('F:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('F:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('F:\WINDOWS\system32\gcc.exe','');
QuarantineFile('F:\WINDOWS\system32\7z.exe','');
QuarantineFile('F:\WINDOWS\services.exe','');
QuarantineFile('F:\Documents and Settings\andrey\reader_s.exe','');
BC_DeleteSvc('tcpsr');
QuarantineFile('F:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('sptd');
BC_DeleteSvc('ICF');
BC_DeleteSvc('IPSECNDISBRIDGE');
BC_DeleteSvc('protect');
QuarantineFile('F:\WINDOWS\system32\ipsecndis.sys','');
BC_DeleteSvc('ati0srxx');
BC_DeleteSvc('ati0udxx');
BC_DeleteSvc('ati0yqxx');
BC_DeleteSvc('ati1wexx');
BC_DeleteSvc('ati3afxx');
BC_DeleteSvc('ati3hxxx');
BC_DeleteSvc('ati5rrxx');
BC_DeleteSvc('ati6oexx');
BC_DeleteSvc('ati6tqxx');
BC_DeleteSvc('ati7gmxx');
QuarantineFile('F:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('F:\WINDOWS\System32\Drivers\ati1hoxx.sys','');
BC_DeleteSvc('ati1hoxx');
QuarantineFile('F:\WINDOWS\system32\DRIVERS\dlkfet5b.sys','');
QuarantineFile('f:\windows\system32\rs32net.exe','');
DeleteFile('f:\windows\system32\rs32net.exe');
DeleteFile('F:\WINDOWS\system32\ipsecndis.sys');
DeleteFile('F:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('F:\Documents and Settings\andrey\reader_s.exe');
DeleteFile('F:\WINDOWS\services.exe');
DeleteFile('F:\WINDOWS\system32\7z.exe');
DeleteFile('F:\WINDOWS\system32\gcc.exe');
DeleteFile('F:\WINDOWS\system32\i386kd.exe');
DeleteFile('F:\WINDOWS\system32\idaw64.exe');
DeleteFile('F:\WINDOWS\system32\makehm.exe');
DeleteFile('F:\WINDOWS\system32\pdbcopy.exe');
DeleteFile('F:\WINDOWS\system32\windres.exe');
DeleteFile('xjxljye.dll');
DeleteFile('F:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('F:\WINDOWS\Temp\VRT22.tmp');
DeleteFile('f:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('F:\WINDOWS\system32\dctool32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин , вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Junior Member
Вес репутации
56
Карантин:
Файл сохранён как 090324_200758_virus_49c9136ebdf42.zip
Размер файла 646976
MD5 24debb88920cb43f95c7fbebfa2da6c6
Вложения
Скачайте IceSword
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
Код:
F:\WINDOWS\system32\Drivers\ati0clxx.sys
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati0clxx');
QuarantineFile('F:\WINDOWS\system32\userinit.exe','');
QuarantineFile('f:\windows\system32\xjxljye.dll','');
DeleteFile('F:\WINDOWS\system32\Drivers\ati0clxx.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\ati1mixx.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\ati7bfxx.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\ati8xwxx.sys');
DeleteFile('F:\Documents and Settings\andrey\reader_s.exe');
DeleteFile('F:\WINDOWS\System32\reader_s.exe');
DeleteFile('F:\WINDOWS\System32\rs32net.exe');
DeleteFile('f:\windows\system32\xjxljye.dll');
BC_Importall;
BC_DeleteSvc('ati0clxx');
BC_DeleteSvc('ati8xwxx');
BC_DeleteSvc('ati7bfxx');
BC_DeleteSvc('ati1mixx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин.
1.Сделайте полную проверку CureIt (запишите его на CD на незаражённом компьютере).
2.Замените файл
Код:
F:\WINDOWS\system32\userinit.exe
на чистый из дистрибутива.
3.Скачайте заново AVZ.
4.Повторите логи по правилам.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
\avz.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56 ) f:\documents and settings\andrey\reader_s.exe - Trojan.Win32.Agent2.fsa ( DrWEB: Trojan.DownLoad.29459, BitDefender: Trojan.PWS.Papras.N ) f:\windows\system32\drivers\ndis.sys - Rootkit.Win32.Agent.ijn ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN ) f:\windows\system32\i386kd.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Agent.AGSP ) f:\windows\system32\rs32net.exe - Trojan.Win32.Agent2.gjr ( DrWEB: BackDoor.Bulknet.320, BitDefender: Trojan.Kobcka.HP ) f:\windows\system32\svchost.exe:ext.exe:$data - Trojan-Downloader.Win32.Agent.bmrg ( BitDefender: Gen:Trojan.Heur.P20708FDFDF ) f:\windows\system32\xjxljye.dll - Backdoor.Win32.Hijack.an ( BitDefender: Trojan.FakeAlert.ABZ )