Решена Вирус Backdoor.Win32.Shiz

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Evgrim, 13 апр 2011.

Статус темы:
Закрыта.
  1. Evgrim
    Оффлайн

    Evgrim Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Добрый день.
    Позавчера, пользуясь Фаерфокс, стало плохо заходить на некоторые сайты (youtube.com, prostopleer.com). Заходить то заходил, но вот пользоваться их услугами было невозможно.
    В Хроме все работало нормально, но меня это не утраивало. Оставил на полную проверку Касперского. Ничего подозрительного он не нашел. Поставил почистить систему System Mechanic, дочистить ему не удалось, по множественным ошибкам перезагрузился компьютер. Больше в system mechanic я зайти не смог. Проверил компьютер при помощи http://www.pandasecurity.com/homeusers/solutions/activescan/ . Он якобы нашел некоторое количество вирусов. Решил установить этот антивирус.
    При попытке удалить касперского, установщик сразу же вылетает без каких-либо ошибок. Процесс просто прекращал свою работу.
    Лазая по интернету убедился, что на некоторые сайты по защите компьютера также не пускает (браузер моментально закрывается).
    При заходе в некоторые папки, содержащие в себе антивирусы, закрывается explorer.
    Система работает очень не стабильно.
    Просканировал компьютер при помощи HiJackThis и AVZ c записью логов. Больше в эти программы не заходит.
    Помогите пожалуйста, логи, какие смог записать, прилагаются.
     

    Вложения:

    • info.txt
      Размер файла:
      40,4 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      46,1 КБ
      Просмотров:
      4
    • virusinfo_syscure.zip
      Размер файла:
      21,3 КБ
      Просмотров:
      5
  2. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    1.Доудалите остатки касперского.

    2.Пересоздайте точки восстановления на всех дисках.

    3.Запустите AVZ таким способом. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\apppatch\xhtzxqe.dat','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\CUB.BAK','');
     DeleteFile('C:\CUB.BAK');
     DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP517\A0121224.exe');
     DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126817.exe');
     DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126818.exe');
     DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126819.exe');
     DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126820.exe');
     DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126821.exe');
     DeleteFile('c:\windows\apppatch\xhtzxqe.dat');
     DeleteFile('C:\autorun.inf');
     DeleteFile('f:\autorun.inf');
     DeleteFileMask('c:\windows\apppatch', '*.*', true);
     DeleteDirectory('c:\windows\apppatch');
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(16);
    RebootWindows(true);
    end.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

    4.В логе сканирования Hijackthis отметьте:
    нажмите "Fix checked"

    5.Обновите базы Malwarebytes' Anti-Malware, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

    Повторите логи avz, rsit, также выложите:
    C:\TDSSKiller.2.4.21.0_12.04.2011_21.24.04_log.txt
     
    Последнее редактирование: 13 апр 2011
  3. Evgrim
    Оффлайн

    Evgrim Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Большое спасибо.
    3.
    Hello,

    bcqr00001.ini,
    bcqr00002.ini,
    bcqr00003.dat,
    bcqr00003.ini,
    bcqr00004.dat,
    bcqr00004.ini,
    bcqr00005.ini,
    bcqr00006.ini,
    CUB.BAK

    No malicious code were found in these files.

    xhtzxqe.dat - Backdoor.Win32.Shiz.dke

    This file is detected at this moment. Please update your antivirus bases.

    -----------------
    Regards, Dmitry Kirsanov
    Virus Analyst, Kaspersky Lab.

    4.
    Данная строчка не была обнаружена.

    Остальные логи выкладываю ниже.
     

    Вложения:

  4. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    с проблемой что?

    удалите найденное mbam:

    если это не ваше, тоже:
    остальное - кряки и кейгены - на ваше усмотрение.

    ок ))

    повторите лог mbam
     
    Последнее редактирование: 14 апр 2011
  5. Evgrim
    Оффлайн

    Evgrim Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Проблема устранена, еще раз большое спасибо.
    С радостью кидаю вам денежку в копилку.
     
  6. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    в любом случае

    Смените свои пароли
     
    Последнее редактирование: 14 апр 2011
  7. Evgrim
    Оффлайн

    Evgrim Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Я поспешил?)
     

    Вложения:

  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
Статус темы:
Закрыта.

Поделиться этой страницей