[user1212]

логи

[Drongo]

user1212, Выполните рекомендации.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\yxxqu4b.exe,\\?\globalroot\systemroot\system32\n7r6abk.exe,

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\','');
 QuarantineFile('\\?\globalroot\systemroot\system32\n7r6abk.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5003298383-9300882897-907112103-5759\nissan.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-5003298383-9300882897-907112103-5759\nissan.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\n7r6abk.exe');
 DeleteFile('\\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

---

После чего скачайте AVZ и сделайте логи скрипты.

[user1212]

Ответ:
n7r6abk.exe - Trojan.Win32.Scar.btuw

This file is detected by the latest antivirus databases.

Best regards, Kaspersky Lab



F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\yxxqu4b.exe,\\?\globalr oot\systemroot\system32\n7r6abk.exe

будучи fixed, эта строка при повторном сканировании появляеться вновь, т.е., как я понял, троян моментально восстанваливает этот файл

[sanek_freeman]

user1212, здравствуйте.

Удалите в МВАМ следущие строки:

Код:

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено папок:
C:\Documents and Settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Program Files\VVSN (Adware.WhenU) -> No action taken.
C:\Program Files\VVSN\URL1 (Adware.WhenU) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.

Затем повторите логи МВАМ, AVZ, HijackThis. Что с проблемой?

[user1212]

Обновить базы avz не удалось, т.к. сайты антивирусных программ все еще заблокированы
использую AVZ версии 4.32 от 21.08.2009, дата сборки всех баз AVZ 21.08.2009

кстати, в папке windows\system32\drivers\etc нет файла hosts, есть только файл lmhosts. это тот же файл?

opera вроде-бы стала работать нормально

[sanek_freeman]

user1212, скачайте AVZ отсюда. Затем сделайте с помощью него новые логи.

[user1212]

спасибо, sanek_freeman, но "Сервис iFolder приостановлен следователями 3-й СЧ ГСУ при ГУВД Москвы."))

[iskander-k]

Цитата user1212:

но "Сервис iFolder приостановлен следователями »

user1212, Вот АВЗ базы сегодняшние(только что обновил.) скачать извлечь из архива и запустить АВЗ.

[user1212]

спасибо, iskander-k