[iskander-k]

Выложите логи в соответствии с этими инструкциями.

[rivera]

получите пож-ста логи

[thyrex]

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack

Код:

 F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tftp.nfo beforegllav
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: C:\WINDOWS\system32\tajf83ikdmf.dll - {BF56A325-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\tajf83ikdmf.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tftp.nfo','');
DeleteFile('C:\WINDOWS\system32\tftp.nfo');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('N:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 DelBHO('{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}');
 QuarantineFile('C:\WINDOWS\system32\tajf83ikdmf.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\028024~1.EXE','');
 DeleteService('0280241249266415mcinstcleanup');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
 TerminateProcessByName('c:\windows\system32\wbem\svchost.exe');
 QuarantineFile('c:\windows\system32\wbem\svchost.exe','');
 DeleteFile('c:\windows\system32\wbem\svchost.exe');
 DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\028024~1.EXE');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\tajf83ikdmf.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler','{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','windump');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windump');
 DeleteFile('D:\autorun.inf');
 DeleteFile('N:\autorun.inf');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

[rivera]

простите, а что значит

Цитата:

Пофиксить в HiJack

это как?


добавлено: вопрос cнимается - сам разобрался )
ps. эт че, у меня походу новый неизвестный даже каперскому вирус что ли?

[_Falcon_]

Цитата rivera:

Пофиксить в HiJack »

Это вот так.

[rivera]

вот новые логи.
файл отослал - после получения ответа - выложу сюда

[thyrex]

В логах ничего подозрительного. Проблема решена?

[rivera]

Код:

Здравствуйте,


autorun.inf

Вредоносный код в файле не обнаружен.

rasadhlp.dll - Backdoor.Win32.Delf.qrb, 
sfcfiles.dll - Trojan.Win32.Patched.fr, 
svchost.exe_ - Packed.Win32.Krap.x

Эти файлы определяются антивирусом. Обновите антивирусные базы.

svchost.exe_1 - Trojan.Win32.Inject.ajnh

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.


 
> 
> Добрый день.
> 
> Сказали отослать Вам.
> http://forum.oszone.net/showthread.php?p=1231407
> 
> 
> С уважением,
> пользователь
> 
---------
С уважением, Андрей Ладиков
Вирусный аналитик
ЗАО "Лаборатория Касперского" 

Тел.: +7 (495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com
123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700 
http://www.kaspersky.ru http://www.viruslist.ru

добавлено: по повторно выложенным логам ничего подозрительного нет? Ничего делать не надо?
еще вопрос: разве процесс userinit.exe не нужно оставить? зачем уго убирать из автозагрузки?

[thyrex]

Цитата rivera:

разве процесс userinit.exe не нужно оставить? »

никто не убирает его из автозагрузки.

HiJack просто восстанавливает запись в реестре, возвращая ей правильный вид

Цитата rivera:

по повторно выложенным логам ничего подозрительного нет? »

Еще в моем предыдущем сообщении было указано про отсутствие подозрений.
Поведение системы нормализовалось?