Подозрение на вирус

**pavbest8** · 06.01.2011, 20:25

Здравствуйте!
Похоже поймал вирус,половину .exe файлов попортило. Постоянно выдаёт

Приложению не удалось запуститься поскольку a.i не был найден.Повторная установка приложения может исправить эту проблему

Логи приложил,заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 06.01.2011, 20:58

Базы AVZ обновите, логи переделайте.

**pavbest8** · 06.01.2011, 23:34

Всё готово

**миднайт** · 07.01.2011, 00:06

Что у вас запущено из временных папок?
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\csrcs.exe');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[7].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[6].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[5].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[4].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[3].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[2].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[1].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[6].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[5].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[4].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[3].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[2].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[1].exe','');
 QuarantineFile('C:\WINDOWS\system32\vkdeluxe.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\Documents and Settings\Дом\gsyzq.exe','');
 QuarantineFile('c:\docume~1\f184~1\locals~1\temp\is-v3bfd.tmp\setup.tmp','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 QuarantineFile('c:\docume~1\f184~1\locals~1\temp\is-rsbuk.tmp\arc.exe','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\Documents and Settings\Дом\gsyzq.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[1].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[2].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[3].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[4].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[5].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JSNRNR6B\mhgpec[6].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[1].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[2].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[3].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[4].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[5].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[6].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y1CY8UM2\mhgpec[7].exe');
DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

**pavbest8** · 07.01.2011, 17:42

Всё сделал

**polword** · 07.01.2011, 19:25

Пришлите файл C:\WINDOWS\system32\vkdeluxe.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

- Сделайте лог MBAM

**pavbest8** · 08.01.2011, 04:05

Сообщение от polword

Пришлите файл C:\WINDOWS\system32\vkdeluxe.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

- Сделайте лог MBAM

Такого файла нет,пробовал и через поиск и вручную найти, нету его.
Логи прикрепил

**polword** · 08.01.2011, 08:48

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.


Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4TYVWPMZ\ygiz[1].jpg (Extension.Mismatch) -> No action taken.
c:\documents and settings\Дом\application data\logs.dat (Bifrose.Trace) -> No action taken.
c:\documents and settings\Дом\local settings\Temp\IELOGIN.abc (Malware.Trace) -> No action taken.
c:\documents and settings\Дом\local settings\Temp\UuU.uUu (Malware.Trace) -> No action taken.
c:\documents and settings\Дом\local settings\Temp\XxX.xXx (Malware.Trace) -> No action taken.

Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\program files\FileCash\uninst.exe','');
 QuarantineFile('c:\WINDOWS\system32\comsats.sys ','');
 QuarantineFile('c:\program files\FileCash\fc_rebuild2.exe','');
 DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM

**pavbest8** · 10.01.2011, 16:26

Всё сделал

**polword** · 10.01.2011, 18:33

подозрительного нет

**pavbest8** · 10.01.2011, 23:54

Огромное вам спасибо

**polword** · 10.01.2011, 23:59

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

**CyberHelper** · 11.01.2011, 23:59

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 65
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\jsnrnr6b\\mhgpec[1].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
2. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\jsnrnr6b\\mhgpec[2].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
3. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\jsnrnr6b\\mhgpec[3].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
4. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\jsnrnr6b\\mhgpec[4].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
5. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\jsnrnr6b\\mhgpec[5].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
6. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\jsnrnr6b\\mhgpec[6].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
7. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[1].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
8. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[2].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
9. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[3].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
10. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[4].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
11. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[5].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
12. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[6].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
13. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\y1cy8um2\\mhgpec[7].exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )
14. c:\\docume~1\\юра\\locals~1\\temp\\vkomzhxn.exe - Backdoor.Win32.Shiz.fth ( DrWEB: Trojan.PWS.Ibank.300, BitDefender: Trojan.Generic.KDV.278000, AVAST4: Win32:Shiz [Spy] )
15. c:\\windows\\system32\\csrcs.exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autohit.11079, BitDefender: Gen:Trojan.Heur.AutoIT.3 )

Подозрение на вирус (заявка № 94667)

Опции темы