Решена Вирус Backdoor.Win32.Shiz

Статус
В этой теме нельзя размещать новые ответы.

Evgrim

Активный пользователь
Сообщения
4
Симпатии
0
Баллы
301
#1
Добрый день.
Позавчера, пользуясь Фаерфокс, стало плохо заходить на некоторые сайты (youtube.com, prostopleer.com). Заходить то заходил, но вот пользоваться их услугами было невозможно.
В Хроме все работало нормально, но меня это не утраивало. Оставил на полную проверку Касперского. Ничего подозрительного он не нашел. Поставил почистить систему System Mechanic, дочистить ему не удалось, по множественным ошибкам перезагрузился компьютер. Больше в system mechanic я зайти не смог. Проверил компьютер при помощи http://www.pandasecurity.com/homeusers/solutions/activescan/ . Он якобы нашел некоторое количество вирусов. Решил установить этот антивирус.
При попытке удалить касперского, установщик сразу же вылетает без каких-либо ошибок. Процесс просто прекращал свою работу.
Лазая по интернету убедился, что на некоторые сайты по защите компьютера также не пускает (браузер моментально закрывается).
При заходе в некоторые папки, содержащие в себе антивирусы, закрывается explorer.
Система работает очень не стабильно.
Просканировал компьютер при помощи HiJackThis и AVZ c записью логов. Больше в эти программы не заходит.
Помогите пожалуйста, логи, какие смог записать, прилагаются.
 

Вложения

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#2
1.Доудалите остатки касперского.

2.Пересоздайте точки восстановления на всех дисках.

3.Запустите AVZ таким способом. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\apppatch\xhtzxqe.dat','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('C:\CUB.BAK','');
 DeleteFile('C:\CUB.BAK');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP517\A0121224.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126817.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126818.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126819.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126820.exe');
 DeleteFile('C:\System Volume Information\_restore{4DDD2CB2-6C0C-4AF3-A5DE-88452C7C1C63}\RP530\A0126821.exe');
 DeleteFile('c:\windows\apppatch\xhtzxqe.dat');
 DeleteFile('C:\autorun.inf');
 DeleteFile('f:\autorun.inf');
 DeleteFileMask('c:\windows\apppatch', '*.*', true);
 DeleteDirectory('c:\windows\apppatch');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

4.В логе сканирования Hijackthis отметьте:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\xhtzxqe.dat,
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
нажмите "Fix checked"

5.Обновите базы Malwarebytes' Anti-Malware, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Повторите логи avz, rsit, также выложите:
C:\TDSSKiller.2.4.21.0_12.04.2011_21.24.04_log.txt
 
Последнее редактирование:

Evgrim

Активный пользователь
Сообщения
4
Симпатии
0
Баллы
301
#3
Большое спасибо.
3.
Hello,

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.dat,
bcqr00003.ini,
bcqr00004.dat,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
CUB.BAK

No malicious code were found in these files.

xhtzxqe.dat - Backdoor.Win32.Shiz.dke

This file is detected at this moment. Please update your antivirus bases.

-----------------
Regards, Dmitry Kirsanov
Virus Analyst, Kaspersky Lab.

4.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\xhtzxqe.dat,
Данная строчка не была обнаружена.

Остальные логи выкладываю ниже.
 

Вложения

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#4
с проблемой что?

удалите найденное mbam:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> No action taken.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> No action taken.

Заражённые файлы:
c:\fun.xls.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.
если это не ваше, тоже:
c:\documents and settings\евгений\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
f:\masm32\qeditor.exe (Trojan.Dropper.PGen) -> No action taken.
f:\masm32\examples\dialogs\calender\calender.exe (Malware.Packer) -> No action taken.
f:\masm32\examples\dialogs\simple\simple.exe (Trojan.Downloader) -> No action taken.
f:\masm32\examples\dialogs\tests\tests.exe (Malware.Packer) -> No action taken.
f:\masm32\examples\exampl05\qeplugin\qeplugin.dll (Spyware.Passwords) -> No action taken.
f:\masm32\examples\exampl06\regdemo\regdemo.exe (Trojan.Downloader) -> No action taken.
f:\masm32\tools\makecimp\vcrtdemo\vcrtdemo.exe (Trojan.Downloader) -> No action taken.
f:\masm32\tutorial\dlltute\dll\dlltute.dll (Spyware.Passwords) -> No action taken.
остальное - кряки и кейгены - на ваше усмотрение.

Данная строчка не была обнаружена.
ок ))

повторите лог mbam
 
Последнее редактирование:

Evgrim

Активный пользователь
Сообщения
4
Симпатии
0
Баллы
301
#5
Проблема устранена, еще раз большое спасибо.
С радостью кидаю вам денежку в копилку.
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#6
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,610
Симпатии
12,660
Баллы
2,203
#8
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу