Банер с чертечем!!!

[Seuge]

Добрый день!
Логи прилагаю помогите, пожалуйста=)
Там еще какая-то фигня с флэшки привязалась, которая через автозапуск инфицирует.....
Заранее, спасибо!

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); 
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('C:\WINDOWS\system32\oxtqob.dll','');
 QuarantineFile('C:\WINDOWS\Temp\*.exe','');
 QuarantineFile('C:\Documents and Settings\Мага\Local Settings\Temp\*.exe','');
 QuarantineFile('F:\DAT.exe','');
 QuarantineFile('C:\RECYCLER.exe','');
 DelCLSID('5Y99AE78-58TT-11dW-BE53-Y67078979Y');
 QuarantineFile('C:\WINDOWS\system\sservice.exe','');
 DelBHO('{BF9E9147-07BE-D273-51A1-44B6974ACE73}');
 QuarantineFile('C:\SysFiles\aRQSGdDTienOHc8rv.dll','');
 QuarantineFile('C:\WINDOWS\system32\fservice.exe','');
 QuarantineFile('C:\WINDOWS\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\winkey.dll','');
 QuarantineFile('C:\WINDOWS\system32\reginv.dll','');
 QuarantineFile('c:\windows\services.exe','');
 TerminateProcessByName('c:\windows\services.exe');
 QuarantineFile('c:\windows\csrss.exe','');
 TerminateProcessByName('c:\windows\csrss.exe');
 DeleteFile('c:\windows\csrss.exe');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\system32\reginv.*');
 DeleteFile('C:\WINDOWS\system32\winkey.dll');
 DeleteFile('C:\WINDOWS\ctfmon.exe'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','csrss.exe');
 DeleteFile('C:\WINDOWS\system32\fservice.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DirectX For Microsoft® Windows');
 DeleteFile('C:\SysFiles\aRQSGdDTienOHc8rv.dll');
 DeleteFile('C:\WINDOWS\system\sservice.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\RECYCLER.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\RECYCLER.exe');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\DAT.exe');
 DeleteFile('C:\Documents and Settings\Мага\Local Settings\Temp\*.*');
 DeleteFile('C:\WINDOWS\Temp\*.*');
 DeleteFile('C:\WINDOWS\system32\oxtqob.dll');
 DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive('C:\quarantine.zip');
end.

Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=62982

4. Повторите логи.

[Seuge]

логи после скрипта
З.Ы. Спасибо за оперативность!

[Seuge]

после попытки загрузки карантина было показано окно с надписью "Результат загрузки" и все....больше ничего....это нормально или повторить загрузку?

[Aleksandra]

Такой лог сделайте http://virusinfo.info/showthread.php?t=40118

это нормально или повторить загрузку?

Это нормально.

[Seuge]

да Гмер нашел какой-то руткит... вот лог

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)

Код:

gmer.exe -del service jjfyypuw
gmer.exe -del file "C:\WINDOWS\system32\oxtqob.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjfyypuw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jjfyypuw"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[Seuge]

проделал все...при выполнении появилась надпись, что не найден сервис, не найден этот длл файл и т.д.
Прогнал Гмером.... и действительно все чисто, как он удалился сам я хз...

[pig]

Лог-то сделайте. Контрольный выстрел...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\мага\local settings\temp\34.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  2. c:\documents and settings\мага\local settings\temp\45.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  3. c:\documents and settings\мага\local settings\temp\51.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  4. c:\documents and settings\мага\local settings\temp\58.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  5. c:\documents and settings\мага\local settings\temp\64.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  6. c:\documents and settings\мага\local settings\temp\70.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  7. c:\documents and settings\мага\local settings\temp\85.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
  8. c:\recycler.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
  9. c:\sysfiles\arqsgddtienohc8rv.dll - Trojan-Ransom.Win32.Hexzone.ald ( DrWEB: Trojan.Blackmailer.origin )
  10. c:\windows\csrss.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
  11. c:\windows\ctfmon.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
  12. c:\windows\services.exe - Backdoor.Win32.Prorat.mj ( DrWEB: BackDoor.ProRat.252, BitDefender: MemScan:Trojan.Prorat.INJ, NOD32: Win32/Prorat.NAH trojan, AVAST4: Win32:Agent-ONW [Trj] )
  13. c:\windows\system\sservice.exe - Backdoor.Win32.Prorat.mj ( DrWEB: BackDoor.ProRat.252, BitDefender: MemScan:Trojan.Prorat.INJ, NOD32: Win32/Prorat.NAH trojan, AVAST4: Win32:Agent-ONW [Trj] )
  14. c:\windows\system32\fservice.exe - Backdoor.Win32.Prorat.mj ( DrWEB: BackDoor.ProRat.252, BitDefender: MemScan:Trojan.Prorat.INJ, NOD32: Win32/Prorat.NAH trojan, AVAST4: Win32:Agent-ONW [Trj] )
  15. c:\windows\system32\oxtqob.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AC worm, AVAST4: Win32:Confi [Wrm] )
  16. c:\windows\system32\reginv.dll - Backdoor.Win32.Prorat.ae ( DrWEB: BackDoor.ProRat.37, BitDefender: Backdoor.Generic.190916, NOD32: Win32/Prorat.S trojan, AVAST4: Win32:Prorat-BC [Trj] )
  17. c:\windows\system32\winkey.dll - Backdoor.Win32.Prorat.bj ( DrWEB: Trojan.KeyLogger.212, BitDefender: Backdoor.Generic.78102, NOD32: Win32/Prorat trojan, AVAST4: Win32:Prorat-BH [Trj] )
  18. c:\windows\temp\02.exe - Trojan-Downloader.Win32.Mutant.gyk ( BitDefender: Trojan.Generic.2237079, AVAST4: Win32:Kobcka-M [Trj] )
  19. c:\windows\temp\14.exe - Trojan-Downloader.Win32.Mutant.gyl ( BitDefender: Trojan.Generic.2237079, AVAST4: Win32:Kobcka-M [Trj] )
  20. c:\windows\temp\18.exe - Trojan-Downloader.Win32.Mutant.gyk ( BitDefender: Trojan.Generic.2237079, AVAST4: Win32:Kobcka-M [Trj] )
  21. c:\windows\temp\53.exe - Backdoor.Win32.HareBot.alr ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Generic.2223941, AVAST4: Win32:Malware-gen )
  22. f:\dat.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )