System Tool [protect your pc]

**ATP1707** · 29.01.2011, 02:00

Здравствуйте!
Завелась на компьютере такая вирусня - System Tool.
Ничего не позволяет делать => в безопасном режиме:
1. Проверил Dr.Web CureIt! - вирусов не обнаружилось,
2. Создал необходимые логи AVZ и HJT.

ПОМОГИТЕ, ПОЖАЛУЙСТА!

И еще... Вирус был подцеплен на другой машине и успешно перенесен на мою с помощью внешнего харда. Что следует сделать с ними (в безопасный режим там выйти не удается - комп перезагружается)

Заранее Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 29.01.2011, 03:41

Сообщение от ATP1707

Вирус был подцеплен на другой машине и успешно перенесен на мою с помощью внешнего харда.

Подключите его и оставьте подключенным до конца лечения.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKCU\..\RunOnce: [jKdHfKj07500] C:\Documents and Settings\All Users\Application Data\jKdHfKj07500\jKdHfKj07500.exe

Прокси-сервер сами прописывали? Если нет - это тоже пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.20.0.2:8118

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\jKdHfKj07500\jKdHfKj07500.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\jKdHfKj07500\jKdHfKj07500.exe');
 DeleteFile('C:\WINDOWS\system32\21.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\41.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\14.scr');
 DeleteFile('C:\WINDOWS\system32\43.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 DeleteFile('C:\WINDOWS\system32\11.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\25.exe');
 DeleteFile('C:\WINDOWS\system32\28.exe');
 DeleteFile('C:\WINDOWS\system32\33.exe');
 DeleteFile('C:\WINDOWS\system32\42.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=96588).
Обновите базы AVZ и сделайте новые логи, по возможности в нормальном режиме.

**ATP1707** · 29.01.2011, 17:43

Спасибо за ответ!
Теперь работает в нормальном режиме)
AVZ обновлён,
Карантин выслан,
Новые логи есть.

**light59** · 29.01.2011, 20:52

В AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\06.exe','');
 QuarantineFile('C:\WINDOWS\system32\05.exe','');
 QuarantineFile('I:\~tmpboot\~tmpbootx.exe','');
 QuarantineFile('I:\autorun.inf','');
 DeleteFile('C:\WINDOWS\system32\05.exe');
 DeleteFile('C:\WINDOWS\system32\06.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\46.exe');
 DeleteFile('C:\WINDOWS\system32\52.exe');
 DeleteFile('C:\WINDOWS\system32\56.exe');
 DeleteFile('C:\WINDOWS\system32\66.exe');
 DeleteFile('C:\WINDOWS\system32\68.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\82.exe');
 DeleteFile('C:\WINDOWS\system32\85.exe');
 DeleteFile('C:\WINDOWS\system32\88.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Шлём карантин.
Делаем новые логи.

I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf

Ваше?

**ATP1707** · 30.01.2011, 18:41

I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
МОИ.

Карантин - есть,
Логи - есть.

**polword** · 30.01.2011, 22:28

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys','');
 DeleteService('cpuz132');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM

**ATP1707** · 31.01.2011, 01:40

Сделано.

**light59** · 31.01.2011, 07:55

Сообщение от ATP1707

I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
МОИ.

I:\~tmpboot\~tmpbootx.exe -
KIS 2010= Trojan-Downloader.Win32.FraudLoad.ykpq
DrWEB 6.0= Trojan.Fakealert.19937
Avast4= Win32:Crypt-IJI

**polword** · 31.01.2011, 08:23

Сообщение от ATP1707

I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
МОИ.

Сообщение от light59

I:\~tmpboot\~tmpbootx.exe -
KIS 2010= Trojan-Downloader.Win32.FraudLoad.ykpq
DrWEB 6.0= Trojan.Fakealert.19937
Avast4= Win32:Crypt-IJI

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('I:\~tmpboot\~tmpbootx.exe');
 DeleteFile('I:\autorun.inf');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

- удалите в MBAM

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\application data\srsf.bat (Malware.Trace) -> No action taken.

**ATP1707** · 31.01.2011, 12:26

Сделано.

**polword** · 31.01.2011, 12:36

В логах подозрительного нет.

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой?

**ATP1707** · 02.02.2011, 18:18

Огромное СПАСИБО за помощь! Один компьютер почищен.

Чтобы почистить другой от того же System Tool, необходимо создавать новую тему или можно здесь же?

**Bratez** · 02.02.2011, 18:30

Создавать новую.

**ATP1707** · 02.02.2011, 18:40

OK

**CyberHelper** · 03.02.2011, 18:40

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. i:\\autorun.inf - Trojan.Win32.AutoRun.ve ( BitDefender: Trojan.Autorun.AUC, NOD32: INF/Autorun worm, AVAST4: INF:AutoRun-BI [Wrm] )
2. i:\\~tmpboot\\~tmpbootx.exe - Trojan-Downloader.Win32.FraudLoad.ykpq ( DrWEB: Trojan.Fakealert.19937, BitDefender: Gen:Variant.Kazy.9654, AVAST4: Win32:MalOb-EO [Cryp] )

System Tool [protect your pc] (заявка № 96588)

Опции темы

System Tool [protect your pc]

Итог лечения

Похожие темы

system tool

System Tool [protect your pc] - Part 2

System Tool!

system tool

System Protect - защита для системных файлов

Ваши права в разделе