[решено] NOD32 Усиленный режим (Вирус)

SolarSpark · Отправлено: **17:03, 17-06-2011** | #2

OkeWismut,привет
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\update.3\svchost.exe');
 TerminateProcessByName('c:\windows\update.1\svchost.exe');
 TerminateProcessByName('c:\windows\sysdriver32.exe');
 StopService('srvsysdriver32');
 QuarantineFile('c:\windows\update.3\svchost.exe','');
 QuarantineFile('c:\windows\update.1\svchost.exe','');
 QuarantineFile('c:\windows\sysdriver32.exe','');
 QuarantineFile('C:\Windows\update.tray-2-0\svchost.exe','');
 QuarantineFile('C:\Windows\update.2\svchost.exe','');
 QuarantineFile('C:\Windows\systemup.exe','');
 QuarantineFile('C:\Windows\sysdriver32_.exe','');
 QuarantineFile('C:\Windows\services32.exe','');
 QuarantineFile('C:\Windows\l1rezerv.exe','');
 QuarantineFile('c:\windows\sysdriver32.exe','');
 DeleteFile('C:\Windows\sysdriver32.exe');
 DeleteFile('C:\Windows\l1rezerv.exe');
 DeleteFile('C:\Windows\services32.exe');
 DeleteFile('C:\Windows\sysdriver32_.exe');
 DeleteFile('C:\Windows\systemup.exe');
 DeleteFile('c:\windows\update.3\svchost.exe');
 DeleteFile('c:\windows\update.1\svchost.exe');
 DeleteFile('c:\windows\sysdriver32.exe');
 DeleteFile('C:\Windows\update.tray-2-0\svchost.exe');
 DeleteFile('C:\Windows\update.2\svchost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
 DeleteService('srvsysdriver32');
DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0');
DeleteFileMask('c:\windows\update.3','*.*', true);
DeleteDirectory('c:\windows\update.3');
DeleteFileMask('c:\windows\update.1','*.*', true);
DeleteDirectory('c:\windows\update.1');
DeleteFileMask('c:\windows\update.2','*.*', true);
DeleteDirectory('c:\windows\update.2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

	R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe
O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.tray-2-0\svchost.exe
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [w_distrib.exe] "C:\Windows\update.3\svchost.exe" stand
O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe"
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

OkeWismut · Конфигурация компьютера

Сделал всё, как сказано.... НО:

В прикреплённом файле "HiJackThis Log.rar" отображены логи уже после фикса следующих строк:

"R3 - URLSearchHook: (no name) - - (no file)"
и
"O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)"

а других, которые нужно было пофиксить, там просто не было (Скан не определяет).

И ещё: Теперь после запуска Антивируса (А ныне "Вируса") в Диспетчере задач добавилась ещё одна задача "Form2", а "l1rezerv.exe" в процессах больше не отображается...

А в целом, всё так же... Подготовил логи, жду ответа : )

SolarSpark · Отправлено: **12:02, 19-06-2011** | #4

Доброго дня. Ситуация намного легче

Зачистим остатки

zirreX · Конфигурация компьютера

Удалить в MBAM:

Код:

Заражённые процессы в памяти:
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> 2556 -> No action taken.

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\loader_rezerv.exe (Backdoor.Delf) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\myrar.exe (Trojan.Dropper) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\iecheck11.exe (Trojan.VkHost) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\loader2.exe (Trojan.Agent) -> No action taken.
c:\Windows\Temp\myrar.exe (Trojan.Dropper) -> No action taken.

Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
TerminateProcessByName('C:\Windows\update.tray-2-0-lnk\svchost.exe');
 QuarantineFile('C:\Windows\update.tray-2-0\svchost.exe','');
 QuarantineFile('C:\Windows\system32\XDva380.sys','');
 QuarantineFile('C:\Windows\system32\XDva383.sys','');
 QuarantineFile('C:\Windows\loader2.exe_ok','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
 QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\w_distrib_iplist.txt','');
 QuarantineFile('C:\Windows\ddh_iplist.txt','');
 QuarantineFile('C:\Windows\iecheck_iplist.txt','');
 QuarantineFile('C:\Windows\front_ip_list.txt','');
 QuarantineFile('C:\Windows\iplist.txt','');
 DeleteFile('C:\Windows\loader2.exe_ok');
 DeleteFile('C:\Windows\iplist.txt');
 DeleteFile('C:\Windows\front_ip_list.txt');
 DeleteFile('C:\Windows\system32\XDva380.sys');
 DeleteFile('C:\Windows\system32\XDva383.sys');
 DeleteFile('C:\Windows\update.tray-2-0\svchost.exe');
 DeleteFile('C:\Windows\iecheck_iplist.txt');
 DeleteFile('C:\Windows\ddh_iplist.txt');
 DeleteFile('C:\Windows\w_distrib_iplist.txt');
 DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
 DeleteFile('C:\Windows\services32.exe');
 DeleteFile('services32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers');
 RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
 DeleteFileMask('C:\Windows\update.tray-2-0-lnk','*.*', true);
 DeleteFileMask('C:\Windows\av_ico','*.*', true);
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 DeleteDirectory('C:\Windows\update.1\');
 DeleteDirectory('C:\Windows\update.2\');
 DeleteDirectory('C:\Windows\update.3\');
 DeleteDirectory('C:\Windows\update.tray-2-0\');
 DeleteDirectory('C:\Windows\update.tray-2-0-lnk');
 DeleteDirectory('C:\Windows\av_ico');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('XDva380');
 BC_DeleteSvc('XDva383');
 BC_DeleteSvc('wxpdrivers');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новые логи AVZ, RSIT, MBAM.

OkeWismut · Конфигурация компьютера

Приветствую!...

Опять же, сделал всё, как было описано, кроме:

"Удалить в MBAB:
код:

Заражённые процессы в памяти:
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> 2556 -> No action taken.

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\loader_rezerv.exe (Backdoor.Delf) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\myrar.exe (Trojan.Dropper) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\iecheck11.exe (Trojan.VkHost) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\loader2.exe (Trojan.Agent) -> No action taken.
c:\Windows\Temp\myrar.exe (Trojan.Dropper) -> No action taken."

Как именно это сделать?

zirreX · Конфигурация компьютера

На F: у вас вторая ОС?

Восстановите эти файлы из арантина MBAM. Главное меню MBAM -> вкладка Карантин -> Отметить указанные ниже файлы и нажать на кнопку Восстановить.

Код:

f:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
f:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
f:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Quarantined and deleted successfully.

Сделайте новый лог сканирования MBAM.

Пофиксите в hijackthis:

Код:

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

OkeWismut · Конфигурация компьютера

Хмм... Да, там стоит XP, очень давно ей не пользовался, Использую F: исключительно, как носитель...

OkeWismut · Конфигурация компьютера

Готово!

zirreX · Конфигурация компьютера

Чисто. Проблема решена?

Удалите файл:

Код:

C:\Windows\system32\tmpC481.tmp

Вижу следы от некорректно удаленного Др.Веб. Деинсталлируйте через dr.web remover

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Обновите Adobe Reader до последней версии.

Обновите Adobe Flash Player до последней версии