Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] лечение вируса Backdoor.IRC.sdb0t4632 (http://forum.oszone.net/showthread.php?t=148041)

seman 15-08-2009 12:56 1194099
лечение вируса Backdoor.IRC.sdb0t4632
 
в безопасном режиме cureit удалил 3 вируса. До этого был еще удален Kido.
каспер не удалял Backdoor.IRC.sdb0t4632. удалил его с помощью скрипта avz.
компьютер периодически перезагружался.
посмотрите плиз логи.

seman 15-08-2009 13:35 1194118
не тот архив залил

thyrex 15-08-2009 20:34 1194359
На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msrtm32.exe','');
 QuarantineFile('C:\WINDOWS\system32\029.tmp','');
 DeleteService('rrbqboiq');
 DeleteFile('C:\WINDOWS\system32\029.tmp');
 DeleteFile('C:\WINDOWS\msrtm32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack
Код:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Сделайте новые логи без работающего CureIt

Выполнить дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

seman 15-08-2009 23:21 1194455
thyrex

seman 16-08-2009 18:42 1194951
thyrex,
ситуация серьезная, чем я думал раньше.
удалил просто Касперского.
Хотел поставить KIS 2009, при установке ушел в синий экран.
потом не загружался. сделал откат. теперь захожу.
До этого пробЫвал протестить с помощью AVTTOOL, не дал мне, вылезла ошибка.
Malwarebytes также не запустился.
машина на базе Атлона.

thyrex 16-08-2009 20:50 1195050
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (qllvy07d.exe)
Код:
qllvy07d.exe -del service jdiaznz
qllvy07d.exe -del file "C:\WINDOWS\system32\nhzuv.dll"
qllvy07d.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jdiaznz"
qllvy07d.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\jdiaznz"
qllvy07d.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\jdiaznz"
qllvy07d.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Сделайте отчет утилиты GSI

seman 18-08-2009 20:34 1196916
Готово

akok 18-08-2009 21:41 1196989
seman, повторите лог AVZ.

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

seman 22-08-2009 16:35 1200298
akok
Залил все в одном флаконе.

_Falcon_ 22-08-2009 16:39 1200302
Выполните:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\msrtm32.exe','');
 QuarantineFile('C:\WINDOWS\system32\029.tmp','');
 DeleteService('rrbqboiq');
 DeleteFile('C:\WINDOWS\system32\029.tmp');
 DeleteFile('C:\WINDOWS\msrtm32.exe'); 
 DeleteFileMask('%Tmp%', '*.*', true);
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
ПК перезагрузится.

Повторите логи AVZ.

seman 22-08-2009 19:16 1200486
_Falcon_
такое ощущение, что после выхода в инет он появляется снова и снова

thyrex 22-08-2009 20:58 1200600
В логах ничего плохого

Вот эта строка в файле hosts Вам известна?
Код:
62.148.228.10        wcom795.hq.icb.chel.su
Давно пришло время установить SP3 (может потребоваться активация) + все новые заплатки

seman 22-08-2009 21:07 1200607
thyrex,
Цитата:
Цитата thyrex
Вот эта строка в файле hosts Вам известна? »
да. это надежный источник.

Цитата:
Цитата thyrex
Давно пришло время установить SP3 (может потребоваться активация) + все новые заплатки »
ок. поставлю. спасибо.

seman 22-08-2009 23:24 1200722
thyrex
sp3 поставил без проблем.
При попытки поставить KIS 2009 - синий экран.
После этого доступен только безопасный режим.

thyrex 23-08-2009 10:39 1200934
Выполните скрипт в AVZ
Код:
begin
 DeleteFile('C:\WINDOWS\system32\drivers\85095931.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\23954356.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\26377915.sys');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

Зачистите все следы антивируса с помощью данной утилиты

Пробуйте теперь установить антивирус

seman 23-08-2009 11:26 1200963
thyrex
утилита kavremover10 не помогла.
выполнил скрипт
+ прошелся
KAV_Registry_Clean
антивирус встал нормально.
спасибо


Время: 22:47.

Время: 22:47.
© OSzone.net 2001-