[zirreX]

Добрый вечер! Сейчас просмотрю логи.

[zirreX]

• Отключите восстановление системы
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('\SystemRoot\System32\drivers\dfg3b85.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\quuzawysso.exe','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\sette.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\rnrsggvm.sys','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\juzjf.exe','');
QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temp\7ZipSfx.000\fltlib.dll','');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temp\7ZipSfx.000\fltlib.dll');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\juzjf.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\rnrsggvm.sys');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\sette.exe');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\quuzawysso.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys');
DeleteFile('\SystemRoot\System32\drivers\dfg3b85.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('igeek02hg3pmoiu');
BC_DeleteSvc('qa3eolyytvuexo');
BC_DeleteSvc('dfg3b85');
BC_DeleteSvc('rnrsggvm');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите лог AVZ + подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновите Internet Explorer до 8-ой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

[pavel111]

логи

[zirreX]

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 TerminateProcessByName('D:\WINDOWS\system32\DETER177\svсhоst.exe');
 TerminateProcessByName('C:\WinVisKa\winviska.exe');
 SetServiceStart('ywxwmbht', 4);
 StopService('ywxwmbht');
 QuarantineFile('D:\WINDOWS\system32\drivers\vde2ote3.sys','');
 QuarantineFile('D:\WINDOWS\system32\DETER177\svсhоst.exe','');
 QuarantineFile('D:\WINDOWS\system32\drivers\cjcbuggv.sys','');
 QuarantineFile('D:\WINDOWS\system32\drivers\bqmjbdls.sys','');
 QuarantineFile('D:\WINDOWS\74B49FF8.exe','');
 QuarantineFile('D:\WINDOWS\5E3961CB.exe','');
 QuarantineFile('C:\WinVisKa\winviska.exe','');
 QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
 DeleteFile('D:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\WinVisKa\winviska.exe');
 DeleteFile('D:\WINDOWS\5E3961CB.exe');
 DeleteFile('D:\WINDOWS\74B49FF8.exe');
 DeleteFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys');
 DeleteFile('D:\WINDOWS\system32\drivers\dfg3b85.sys');
 DeleteFile('D:\WINDOWS\system32\drivers\rnrsggvm.sys');
 DeleteFile('D:\WINDOWS\system32\drivers\bqmjbdls.sys');
 DeleteFile('D:\WINDOWS\system32\drivers\cjcbuggv.sys');
 DeleteFile('D:\WINDOWS\system32\DETER177\svсhоst.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\rnrsggvm');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rnrsggvm');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Regedit32');
 DeleteService('ywxwmbht');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('cjcbuggv');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Удалите в MBAM всё, кроме
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."


Повторно просканируйте компьютер MBAM и прикрепите лог!

Карантин не отправили?Обязательно отправьте.

[pavel111]

Цитата Fedin:

Карантин не отправили?Обязательно отправьте. »

карантин пуст... хотя во время выполнения скрипта никаких сбоев/сообщений не было

читать дальше »

а можно без combofix?(имею печальный опыт после работы утилиты)

в этот раз карантин "образовался"- отправлю.

[zirreX]

Цитата pavel111:

а можно без combofix?(имею печальный опыт после работы утилиты) »

Проблем быть не должно, главное внимательно прочитайте инструкцию.

[pavel111]

Цитата Fedin:

Проблем быть не должно, главное внимательно прочитайте инструкцию. »

да знаю в принципе как работать с утилитой.... ну да ладно. рискну.
(консоль восстановления появилась в загрузке систем - удалил с boot)

[zirreX]

Карантин от АВЗ опять пустой?

[zirreX]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
d:\windows\system32\dllcache\drwB.tmp

Driver::
tdbzyozh
rlmzr

NetSvc::
rlmzr

Folder::


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4109:TCP"=-


FileLook::

DirLook::


FCopy::
d:\windows\system32\dllcache\ndis.sys | d:\windows\system32\drivers\ndis.sys

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Удалите в MBAM
Зараженные файлы:
D:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
D:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.

Просканируйте и прикрепите лог MBAM

Проверьте на www.virustotal.com
d:\windows\system32\drivers\vde2ote3.sys
Дайте ссылку с результатом проверки