Решена Вирус Backdoor.Win32.Shiz

Статус
В этой теме нельзя размещать новые ответы.

Evgrim

Новый пользователь
Сообщения
4
Реакции
0
Добрый день.
Позавчера, пользуясь Фаерфокс, стало плохо заходить на некоторые сайты (youtube.com, prostopleer.com). Заходить то заходил, но вот пользоваться их услугами было невозможно.
В Хроме все работало нормально, но меня это не утраивало. Оставил на полную проверку Касперского. Ничего подозрительного он не нашел. Поставил почистить систему System Mechanic, дочистить ему не удалось, по множественным ошибкам перезагрузился компьютер. Больше в system mechanic я зайти не смог. Проверил компьютер при помощи http://www.pandasecurity.com/homeusers/solutions/activescan/ . Он якобы нашел некоторое количество вирусов. Решил установить этот антивирус.
При попытке удалить касперского, установщик сразу же вылетает без каких-либо ошибок. Процесс просто прекращал свою работу.
Лазая по интернету убедился, что на некоторые сайты по защите компьютера также не пускает (браузер моментально закрывается).
При заходе в некоторые папки, содержащие в себе антивирусы, закрывается explorer.
Система работает очень не стабильно.
Просканировал компьютер при помощи HiJackThis и AVZ c записью логов. Больше в эти программы не заходит.
Помогите пожалуйста, логи, какие смог записать, прилагаются.
 

Вложения

  • info.txt
    40.4 KB · Просмотры: 2
  • log.txt
    46.1 KB · Просмотры: 4
  • virusinfo_syscure.zip
    21.3 KB · Просмотры: 5
1.Доудалите остатки касперского.

2.Пересоздайте точки восстановления на всех дисках.

3.Запустите AVZ таким способом. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\apppatch\xhtzxqe.dat','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('C:\CUB.BAK','');
 DeleteFile('C:\CUB.BAK');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP517\A0121224.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126817.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126818.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126819.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126820.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126821.exe');
 DeleteFile('c:\windows\apppatch\xhtzxqe.dat');
 DeleteFile('C:\autorun.inf');
 DeleteFile('f:\autorun.inf');
 DeleteFileMask('c:\windows\apppatch', '*.*', true);
 DeleteDirectory('c:\windows\apppatch');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

4.В логе сканирования Hijackthis отметьте:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\xhtzxqe.dat,
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
нажмите "Fix checked"

5.Обновите базы Malwarebytes' Anti-Malware, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Повторите логи avz, rsit, также выложите:
C:\TDSSKiller.2.4.21.0_12.04.2011_21.24.04_log.txt
 
Последнее редактирование:
Большое спасибо.
3.
Hello,

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.dat,
bcqr00003.ini,
bcqr00004.dat,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
CUB.BAK

No malicious code were found in these files.

xhtzxqe.dat - Backdoor.Win32.Shiz.dke

This file is detected at this moment. Please update your antivirus bases.

-----------------
Regards, Dmitry Kirsanov
Virus Analyst, Kaspersky Lab.

4.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\xhtzxqe.dat,
Данная строчка не была обнаружена.

Остальные логи выкладываю ниже.
 

Вложения

  • log.txt
    43.8 KB · Просмотры: 1
  • info.txt
    42.1 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    20.8 KB · Просмотры: 1
  • virusinfo_syscure.zip
    21.4 KB · Просмотры: 1
  • mbam-log-2011-04-14 (01-21-06).txt
    3.7 KB · Просмотры: 2
  • TDSSKiller.2.4.21.0_12.04.2011_21.24.04_log.txt
    43.7 KB · Просмотры: 2
с проблемой что?

удалите найденное mbam:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> No action taken.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> No action taken.

Заражённые файлы:
c:\fun.xls.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.

если это не ваше, тоже:
c:\documents and settings\евгений\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
f:\masm32\qeditor.exe (Trojan.Dropper.PGen) -> No action taken.
f:\masm32\examples\dialogs\calender\calender.exe (Malware.Packer) -> No action taken.
f:\masm32\examples\dialogs\simple\simple.exe (Trojan.Downloader) -> No action taken.
f:\masm32\examples\dialogs\tests\tests.exe (Malware.Packer) -> No action taken.
f:\masm32\examples\exampl05\qeplugin\qeplugin.dll (Spyware.Passwords) -> No action taken.
f:\masm32\examples\exampl06\regdemo\regdemo.exe (Trojan.Downloader) -> No action taken.
f:\masm32\tools\makecimp\vcrtdemo\vcrtdemo.exe (Trojan.Downloader) -> No action taken.
f:\masm32\tutorial\dlltute\dll\dlltute.dll (Spyware.Passwords) -> No action taken.
остальное - кряки и кейгены - на ваше усмотрение.

Данная строчка не была обнаружена.
ок ))

повторите лог mbam
 
Последнее редактирование:
Проблема устранена, еще раз большое спасибо.
С радостью кидаю вам денежку в копилку.
 
Последнее редактирование:
Я поспешил?)
 

Вложения

  • mbam-log-2011-04-15 (01-41-00).txt
    3.1 KB · Просмотры: 3
  • mbam-log-2011-04-15 (13-15-07).txt
    1.5 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу