F
ftor
У друга завелась на компе эта зараза. Помогите изгнать демона.
- Статус
Что-то это зловред активизировался.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измените расширение каждому на ddd.
Затем нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.
Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес.
Повторите логи.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измените расширение каждому на ddd.
Затем нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\wini10543.exe','');
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe','');
QuarantineFile('E:\WINDOWS\system32\karna.dat','');
QuarantineFile('E:\WINDOWS\system32\twext.exe','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winwf58.sys','');
QuarantineFile('E:\WINDOWS\system32\Drivers\Winpx03.sys','');
QuarantineFile('e:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('E:\WINDOWS\system32\winrkp32.dll','');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('e:\windows\system32\brastk.exe','');
TerminateProcessByName('e:\windows\system32\brastk.exe');
DeleteFile('e:\windows\system32\brastk.exe');
DeleteFile('e:\WINDOWS\system32\dllcache\beep.sys');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('E:\WINDOWS\system32\winrkp32.dll');
DeleteFile('E:\WINDOWS\system32\Drivers\Winpx03.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winwf58.sys');
DeleteFile('E:\WINDOWS\system32\twext.exe');
DeleteFile('E:\WINDOWS\system32\karna.dat');
DeleteFile('WinCtrl32.dll');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe');
DeleteFile('E:\WINDOWS\system32\wini10543.exe');
BC_ImportAll;
BC_DeleteSvc('Winpx03');
BC_DeleteSvc('Beep');
BC_DeleteSvc('Winwf58');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.
Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес.
Повторите логи.
F
ftor
Логи прикрепил, карантин выслал
Как там в логах?
Как там в логах?
Ну что же будем добивать.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки
Повторите логи.
По карантину:
Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe - not-a-virus:FraudTool.Win32.XPAntiSpyware2009.e, WINDOWS\system32\wini10543.exe - not-a-virus:FraudTool.Win32.XPAntiSpyware2009.e, windows\system32\brastk.exe - Heur.Trojan.Generic,
WINDOWS\system32\karna.dat - Backdoor.Win32.Small.gjm, WINDOWS\system32\winrkp32.dll - Trojan.Win32.Obfuscated.kbo, E:\WINDOWS\system32\Drivers\Winpx03.sys - Trojan-Downloader.Win32.Mutant.aim, WINDOWS\System32\Drivers\Beep.SYS - Backdoor.Win32.UltimateDefender.a
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\karna.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки
Код:
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)Повторите логи.
По карантину:
Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe - not-a-virus:FraudTool.Win32.XPAntiSpyware2009.e, WINDOWS\system32\wini10543.exe - not-a-virus:FraudTool.Win32.XPAntiSpyware2009.e, windows\system32\brastk.exe - Heur.Trojan.Generic,
WINDOWS\system32\karna.dat - Backdoor.Win32.Small.gjm, WINDOWS\system32\winrkp32.dll - Trojan.Win32.Obfuscated.kbo, E:\WINDOWS\system32\Drivers\Winpx03.sys - Trojan-Downloader.Win32.Mutant.aim, WINDOWS\System32\Drivers\Beep.SYS - Backdoor.Win32.UltimateDefender.a
F
ftor
Вот это колличество 
новые логи
новые логи
- Статус