-
Junior Member
- Вес репутации
- 49
System Tool [protect your pc]
Здравствуйте!
Завелась на компьютере такая вирусня - System Tool.
Ничего не позволяет делать => в безопасном режиме:
1. Проверил Dr.Web CureIt! - вирусов не обнаружилось,
2. Создал необходимые логи AVZ и HJT.
ПОМОГИТЕ, ПОЖАЛУЙСТА!
И еще... Вирус был подцеплен на другой машине и успешно перенесен на мою с помощью внешнего харда. Что следует сделать с ними (в безопасный режим там выйти не удается - комп перезагружается)
Заранее Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
ATP1707
Вирус был подцеплен на другой машине и успешно перенесен на мою с помощью внешнего харда.
Подключите его и оставьте подключенным до конца лечения.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKCU\..\RunOnce: [jKdHfKj07500] C:\Documents and Settings\All Users\Application Data\jKdHfKj07500\jKdHfKj07500.exe
Прокси-сервер сами прописывали? Если нет - это тоже пофиксите:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.20.0.2:8118
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\jKdHfKj07500\jKdHfKj07500.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\jKdHfKj07500\jKdHfKj07500.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\14.scr');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=96588).
Обновите базы AVZ и сделайте новые логи, по возможности в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Спасибо за ответ!
Теперь работает в нормальном режиме)
AVZ обновлён,
Карантин выслан,
Новые логи есть.
-
В AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\system32\05.exe','');
QuarantineFile('I:\~tmpboot\~tmpbootx.exe','');
QuarantineFile('I:\autorun.inf','');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Шлём карантин.
Делаем новые логи.
I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
Ваше?
-
-
Junior Member
- Вес репутации
- 49
I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
МОИ.
Карантин - есть,
Логи - есть.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys','');
DeleteService('cpuz132');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
-
Сообщение от
ATP1707
I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
МОИ.
I:\~tmpboot\~tmpbootx.exe -
KIS 2010= Trojan-Downloader.Win32.FraudLoad.ykpq
DrWEB 6.0= Trojan.Fakealert.19937
Avast4= Win32:Crypt-IJI
-
-
Сообщение от
ATP1707
I:\~tmpboot\~tmpbootx.exe
I:\autorun.inf
МОИ.
Сообщение от
light59
I:\~tmpboot\~tmpbootx.exe -
KIS 2010= Trojan-Downloader.Win32.FraudLoad.ykpq
DrWEB 6.0= Trojan.Fakealert.19937
Avast4= Win32:Crypt-IJI
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('I:\~tmpboot\~tmpbootx.exe');
DeleteFile('I:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- удалите в MBAM
Код:
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые файлы:
c:\documents and settings\Admin\application data\srsf.bat (Malware.Trace) -> No action taken.
-
-
Junior Member
- Вес репутации
- 49
-
В логах подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 49
Огромное СПАСИБО за помощь! Один компьютер почищен.
Чтобы почистить другой от того же System Tool, необходимо создавать новую тему или можно здесь же?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- i:\\autorun.inf - Trojan.Win32.AutoRun.ve ( BitDefender: Trojan.Autorun.AUC, NOD32: INF/Autorun worm, AVAST4: INF:AutoRun-BI [Wrm] )
- i:\\~tmpboot\\~tmpbootx.exe - Trojan-Downloader.Win32.FraudLoad.ykpq ( DrWEB: Trojan.Fakealert.19937, BitDefender: Gen:Variant.Kazy.9654, AVAST4: Win32:MalOb-EO [Cryp] )
-