Win32/Statik

[garikb]

При подключении к инету НОД пишет:
AMON файл C:\WINDOWS\system32\X6DEKU018B\G001.exe вероятно неизвестный NewHeur_PE вирус.
AMON файл C:\WINDOWS\system32\ZBXQWJ6NBJ\C023.exe вероятно модифицированный Win32/VB.NXN троянская программа
AMON файл C:\WINDOWS\system32\14QR2GEDOV\A023.exe модифицированный Win32/Statik потенциально нежелательная программа
Помогите пожалуйста

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DeleteService('National Web CC');
 QuarantineFile('C:\WINDOWS\system32\S9D5EDMWZ2\I.exe','');
 DeleteService('AppITSrv');
 QuarantineFile('C:\WINDOWS\System32\AppIT\smss.exe','');
 QuarantineFile('c:\windows\system32\pderunsrv.dll','');
 QuarantineFile('C:\WINDOWS\System32\pdelogsrv.dll','');
 QuarantineFile('c:\docume~1\alluse~1\drm\uucst.dll','');
 QuarantineFile('c:\docume~1\alluse~1\drm\awise.dll','');
 DeleteFile('c:\docume~1\alluse~1\drm\awise.dll');
 DeleteFile('c:\docume~1\alluse~1\drm\uucst.dll');
 DeleteFile('C:\WINDOWS\System32\pdelogsrv.dll');
 DeleteFile('c:\windows\system32\pderunsrv.dll');
 DeleteFile('C:\WINDOWS\System32\AppIT\smss.exe');
 DeleteFile('C:\WINDOWS\system32\S9D5EDMWZ2\I.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61221

3. Повторите логи.

[garikb]

Спасибо огромное !!! Помогло.
файл quarantine.zip отослал
Вот новые логи

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DeleteService('dvd4');
 QuarantineFile('C:\WINDOWS\Atidvd4.exe','');
 QuarantineFile('c:\docume~1\alluse~1\drm\radpv.dll','');
 DeleteFile('c:\docume~1\alluse~1\drm\radpv.dll');
 DeleteFile('C:\WINDOWS\Atidvd4.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61221

3. Повторите логи.

[garikb]

файл quarantine.zip отослал
Вот новые логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHelpkkxxgh.exe','');
 DeleteService('WinHelp32');
 SetServiceStart('WinHelpkxxgh', 4);
 DeleteService('WinHelpkxxgh');
 DeleteFile('C:\WINDOWS\system32\WinHelpkkxxgh.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[garikb]

файл virus.zip отослал
Вот новые логи
Еще постоянно ломится reqedit32.exe через svchost.exe на 222.186.33.50 порт 8008
это нормально?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 DeleteService('BackGround Switch');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин (если не окажется пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + сообщите, решена ли проблема

[garikb]

Извините, вызвали на работу
Скрипт выполнил
Карантин выслал
Нод не ругается, сквозь фаервол никто не ломится, я думаю проблема решена.
Большое спасибо!

[thyrex]

Чисто

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8

[garikb]

Все отлично , все работает
Всем большое спасибо за лечение!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\docume~1\alluse~1\drm\radpv.dll - Trojan-PSW.Win32.Bjlog.dqw ( DrWEB: Adware.Baidu.1447, AVAST4: Win32:Trojan-gen )
  2. c:\windows\atidvd4.exe - Trojan-Downloader.Win32.Ogran.dh ( DrWEB: BackDoor.ClDdos.9, AVAST4: Win32:Malware-gen )
  3. c:\windows\system32\appit\smss.exe - Backdoor.Win32.SdBot.pqv ( DrWEB: BackDoor.IRC.Sdbot.6615, AVAST4: Win32:Malware-gen )
  4. c:\windows\system32\pdelogsrv.dll - Backdoor.Win32.Rbot.ahgh
  5. c:\windows\system32\pderunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wwhv ( DrWEB: Trojan.DownLoad1.10707, BitDefender: DeepScan:Generic.Peed.7927FC4B, AVAST4: Win32:Malware-gen )
  6. c:\windows\system32\regedit32.exe - Backdoor.Win32.Agent.amjo ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.2629176, NOD32: Win32/AutoRun.Agent.TS worm, AVAST4: Win32:Malware-gen )
  7. c:\windows\system32\winhelpkkxxgh.exe - Trojan.Win32.Scar.assv ( DrWEB: BackDoor.Darkshell.77, AVAST4: Win32:Agent-AERY [Trj] )
  8. c:\windows\system32\winhelp32.exe - Trojan.Win32.Scar.aknh ( DrWEB: BackDoor.Darkshell.77, BitDefender: Backdoor.Generic.228870, AVAST4: Win32:Patched-JZ [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !