[thyrex]

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3cf0a0bf.exe,C:\WINDOWS\system32\ckjxnl.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\ckjxnl.exe','');
 QuarantineFile('C:\WINDOWS\system32\3cf0a0bf.exe','');
 QuarantineFile('C:\Documents and Settings\amun\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\amun\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\3cf0a0bf.exe');
 DeleteFile('C:\WINDOWS\system32\ckjxnl.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Скачайте AVZ 4.34

Сделайте новые логи

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[iskander-k]

Обновите АВЗ и сделайте новые логи.

[gorylev]

пофиксил, выполнил скрипт, ребутнулся и машинка ожила сайты разблокировались, выполнять дальнейшие ваши рекомендации или остановиться на достигнутом?

[thyrex]

Выполнять в обязательном порядке

[gorylev]

логи

[gorylev]

ответ от support.kaspersky.ru



3cf0a0bf.exe - Backdoor.Win32.Shiz.kz
ckjxnl.exe - Trojan.Win32.Jorik.Shiz.ay
setupapi.dll,
setupapi_0.dll - Trojan.Win32.BHO.aihr
wwwznv32.exe - Backdoor.Win32.Bredavi.dgv

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

mssfc.dll
sfcfiles.dll

Файлы в процессе обработки.

[Drongo]

gorylev, Выполните рекомендации

• Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\yjmblld.exe
C:\WINDOWS\system32\ufiftfh.exe
C:\WINDOWS\system32\ckflhja.exe
C:\WINDOWS\system32\cecanho.exe
C:\WINDOWS\system32\mcmsdcq.exe
C:\WINDOWS\system32\flpugzp.exe
C:\WINDOWS\system32\getlkgv.exe
C:\WINDOWS\system32\zmkvish.exe
C:\WINDOWS\system32\66223293.exe
C:\WINDOWS\system32\xbwaykp.exe
C:\WINDOWS\system32\eewmzr.exe
C:\WINDOWS\system32\ptzjneg.exe
C:\WINDOWS\system32\peevkb.exe
C:\WINDOWS\system32\kgbzbtq.exe
C:\WINDOWS\system32\tjigoij.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\system32\drivers\atinxsxx.sys
C:\WINDOWS\system32\drivers\atinxbxx.sys
C:\WINDOWS\system32\drivers\atintuxx.sys
C:\WINDOWS\system32\drivers\atinttxx.sys
C:\WINDOWS\system32\drivers\atinsnxx.sys
C:\WINDOWS\system32\drivers\atinrvxx.sys
C:\WINDOWS\system32\drivers\atinraxx.sys
C:\WINDOWS\system32\drivers\atinpdxx.sys
C:\WINDOWS\system32\drivers\atinmdxx.sys
C:\WINDOWS\system32\drivers\atinbtxx.sys
C:\WINDOWS\system32\drivers\ati2mtag.sys
C:\WINDOWS\system32\drivers\ati2mtaa.sys
C:\WINDOWS\system32\drivers\ati1xsxx.sys
C:\WINDOWS\system32\drivers\ati1xbxx.sys
C:\WINDOWS\system32\drivers\ati1tuxx.sys
C:\WINDOWS\system32\drivers\ati1ttxx.sys
C:\WINDOWS\system32\drivers\ati1snxx.sys
C:\WINDOWS\system32\drivers\ati1rvxx.sys
C:\WINDOWS\system32\drivers\ati1raxx.sys
C:\WINDOWS\system32\drivers\ati1pdxx.sys
C:\WINDOWS\system32\drivers\ati1mdxx.sys
C:\WINDOWS\system32\drivers\ati1btxx.sys

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Повторите логи RSIT

[thyrex]

gorylev, если еще не поздно

Удалите из скрипта

Код:

C:\WINDOWS\msdownld.tmp
C:\WINDOWS\system32\drivers\atinxsxx.sys
C:\WINDOWS\system32\drivers\atinxbxx.sys
C:\WINDOWS\system32\drivers\atintuxx.sys
C:\WINDOWS\system32\drivers\atinttxx.sys
C:\WINDOWS\system32\drivers\atinsnxx.sys
C:\WINDOWS\system32\drivers\atinrvxx.sys
C:\WINDOWS\system32\drivers\atinraxx.sys
C:\WINDOWS\system32\drivers\atinpdxx.sys
C:\WINDOWS\system32\drivers\atinmdxx.sys
C:\WINDOWS\system32\drivers\atinbtxx.sys
C:\WINDOWS\system32\drivers\ati2mtag.sys
C:\WINDOWS\system32\drivers\ati2mtaa.sys
C:\WINDOWS\system32\drivers\ati1xsxx.sys
C:\WINDOWS\system32\drivers\ati1xbxx.sys
C:\WINDOWS\system32\drivers\ati1tuxx.sys
C:\WINDOWS\system32\drivers\ati1ttxx.sys
C:\WINDOWS\system32\drivers\ati1snxx.sys
C:\WINDOWS\system32\drivers\ati1rvxx.sys
C:\WINDOWS\system32\drivers\ati1raxx.sys
C:\WINDOWS\system32\drivers\ati1pdxx.sys
C:\WINDOWS\system32\drivers\ati1mdxx.sys
C:\WINDOWS\system32\drivers\ati1btxx.sys

[gorylev]

не поздно

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\yjmblld.exe moved successfully.
C:\WINDOWS\system32\ufiftfh.exe moved successfully.
C:\WINDOWS\system32\ckflhja.exe moved successfully.
C:\WINDOWS\system32\cecanho.exe moved successfully.
C:\WINDOWS\system32\mcmsdcq.exe moved successfully.
C:\WINDOWS\system32\flpugzp.exe moved successfully.
C:\WINDOWS\system32\getlkgv.exe moved successfully.
C:\WINDOWS\system32\zmkvish.exe moved successfully.
C:\WINDOWS\system32\66223293.exe moved successfully.
C:\WINDOWS\system32\xbwaykp.exe moved successfully.
C:\WINDOWS\system32\eewmzr.exe moved successfully.
C:\WINDOWS\system32\ptzjneg.exe moved successfully.
C:\WINDOWS\system32\peevkb.exe moved successfully.
C:\WINDOWS\system32\kgbzbtq.exe moved successfully.
C:\WINDOWS\system32\tjigoij.exe moved successfully.
C:\Program Files\Common Files\keylog.txt moved successfully.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
C:\WINDOWS\msdownld.tmp folder moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: amun
->Temp folder emptied: 279211374 bytes
->Temporary Internet Files folder emptied: 220117044 bytes
->FireFox cache emptied: 102389298 bytes
->Flash cache emptied: 36794 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: амропаопо
->Temp folder emptied: 603881 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 18394243 bytes
->Flash cache emptied: 760 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2334567 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1220688 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 41922451 bytes

Total Files Cleaned = 636,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 07172010_230809

Files moved on Reboot...

Registry entries deleted on Reboot...