Помогите с вирусами (packed.monder; injector.ez; win32.virtu.56 и т. д.)

iskander-k · Конфигурация компьютера

HunterDreVit, от АВЗ нужен ещё один лог. Внимательно читайте правила.

HunterDreVit · Отправлено: **20:50, 14-08-2009** | #3

Извините, посмотрю и скину.

HunterDreVit · Отправлено: **22:04, 14-08-2009** | #4

вот новые логи:

HunterDreVit · Отправлено: **22:07, 14-08-2009** | #5

ой
вот
http://forum.oszone.net/attachment.p...1&d=1250273371

thyrex · Конфигурация компьютера

На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6T8FCZDC\lo[1].htm','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K1QNC1I7\des[1].htm','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8P67SDI3\lo[1].htm','');
 QuarantineFile('C:\Documents and Settings\Hunter\Local Settings\Temporary Internet Files\Content.IE5\OQUDUT1X\lo7[1].htm','');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
 QuarantineFile('C:\WINDOWS\EC.tmp','');
 TerminateProcessByName('c:\windows\msconfigs.exe');
 QuarantineFile('c:\windows\msconfigs.exe','');
 DeleteFile('c:\windows\msconfigs.exe');
 DeleteFile('C:\WINDOWS\EC.tmp');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\Documents and Settings\Hunter\Local Settings\Temporary Internet Files\Content.IE5\OQUDUT1X\lo7[1].htm');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8P67SDI3\lo[1].htm');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K1QNC1I7\des[1].htm');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6T8FCZDC\lo[1].htm');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

HunterDreVit · Отправлено: **00:37, 15-08-2009** | #7

немогу отправить письмо с quarantine.zip поскольку файл больше 10 мб, и почта касперского не принимает письма. что делать? а и первый скрипт наверное не до конца сработал, сообщение о ошибке, проверил синтаксис - вроде все нормально. что делать???????????????????????

thyrex · Конфигурация компьютера

Делайте новые логи

Ваш архив получил. В трех файлах (моим Касперским) найдены Backdoor.Win32.Bredolab.fr и Trojan-Dropper.Win32.Agent.azgo (2 шт.)
Еще два файла ушли в вирлаб

HunterDreVit · Отправлено: **13:41, 15-08-2009** | #9

вот еще новые логи
http://forum.oszone.net/attachment.p...1&d=1250329269

thyrex · Конфигурация компьютера

Пришел ответ

Цитата:

des[1].htm - Trojan.Win32.Buzus.bueg
msconfigs.exe - Trojan.Win32.Buzus.bueh

Детектирование файлов будет добавлено в следующее обновление.

По какой причине логи сделаны полиморфным AVZ? Не надо выкладывать лишние логи в архив. Нам нужны только virusinfo_syscheck.zip, virusinfo_syscure.zip и лог HiJack
Просьба сделать логи обычным AVZ (в нормальном режиме)