[решено] Помогите! Баннер-вымогатель и много других странностей

thyrex · Конфигурация компьютера

Пофиксите в HiJack

Код:

 R3 - URLSearchHook: (no name) -  - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\XwiEz.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\1963715e.exe,C:\WINDOWS\system32\6fdaf893.exe,C:\WINDOWS\system32\8bc8218.exe,C:\WINDOWS\system32\734c5578.exe,C:\WINDOWS\system32\97f0927.exe,\\?\globalroot\systemroot\system32\by114Rm.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\97f0927.exe','');
 QuarantineFile('C:\WINDOWS\system32\8bc8218.exe','');
 QuarantineFile('C:\WINDOWS\system32\734c5578.exe','');
 QuarantineFile('C:\WINDOWS\system32\6fdaf893.exe','');
 QuarantineFile('C:\WINDOWS\system32\1963715e.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft Security Essentials\msseces.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Almia\inki.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\adildr.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('Adiratt_ln.sys','');
 QuarantineFile('C:\WINDOWS\system\svhost.exe','');
 DeleteFile('C:\WINDOWS\system\svhost.exe');
 DeleteFile('Adiratt_ln.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\Documents and Settings\user\Application Data\Almia\inki.exe');
 DeleteFile('C:\Documents and Settings\user\Application Data\Microsoft Security Essentials\msseces.exe');
 DeleteFile('C:\WINDOWS\system32\1963715e.exe');
 DeleteFile('C:\WINDOWS\system32\6fdaf893.exe');
 DeleteFile('C:\WINDOWS\system32\734c5578.exe');
 DeleteFile('C:\WINDOWS\system32\8bc8218.exe');
 DeleteFile('C:\WINDOWS\system32\97f0927.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{6220A90E-D487-D97E-D0EA-054AB12C774A}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
DeleteService('WindowsTelephony');
 DeleteService('Adiratt_ln');
DeleteService('sysdrv32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

iskander-k · Конфигурация компьютера

+ сказанному thyrex, проверьте систему . ZbotKiller.exe по инструкции http://support.kaspersky.ru/faq/?qid=208636281

toraburu · Отправлено: **16:01, 15-05-2010** | #4

Друзья, спасибо за ответы. Сделал все, что сказали. Сейчас на неисправном компе работает Cure IT, уже более часа, на 35-40% замедлился до скорости 220 кб в сек. К слову сказать - он нашел три инфицированных файла трояном Fakealarm что-ли. Как только закончит - сразу же соберу логи и выложу.

toraburu · Отправлено: **17:10, 15-05-2010** | #5

Ответ по файлу карантина:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

sdra64.exe - Trojan.Win32.VB.aech

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

toraburu · Отправлено: **17:47, 15-05-2010** | #6

Выкладываю последние логи:

thyrex · Конфигурация компьютера

Плохого не видно

Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE

Drongo · Конфигурация компьютера

toraburu, Если проблем нет, отмечайте тему решённой - Отметить решенной

toraburu · Отправлено: **12:27, 16-05-2010** | #9

Единственное, что до сих пор не работает - NOD32. При попытке запустить его вылезает сообщение, что программа не может быть открыта из-за политики ограничений в использовании программного обеспечения. Предлагает обратиться к системному администратору или открыть "Просмотр событий". Это ведь не нормально?

Drongo · Конфигурация компьютера

toraburu, Переустановить NOD пробовали?