Вчера антивирус KIS 2010 выдал сообщение: "поврежден черный список", после попытки обновления появилось сообщение: "повреждены базы".
Выяснилось что доступ на сайты антивирусов закрыт.
В ходе сканирования CureIt были найдены многочисленные вирусы Trojan.Packed.20032

Здравствуйте! Выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');
QuarantineFile('REBUILDI.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\Documents and Settings\йцукен\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Комп перезагрузится

выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html) . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)

Сделайте новые логи

QuarantineFile('C:\Documents and Settings\йцукен\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
тут ошибка - забыл второй параметр ,''

Выберите тип запроса:
Неизвестная вредоносная программа
Ложное срабатывание
Запрос на описание вредоносной программы

ок!Недосмотрела...

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');
QuarantineFile('REBUILDI.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\Documents and Settings\йцукен\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\ajxbha9.exe,','');
DeleteFile('\\?\globalroot\systemroot\system32\ajxbha9.exe,');
BC_ImportAll;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
так же не забудьте про скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И про отправку карантина

Пофиксите так же в HJT


F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ajxbha9.exe,


DNS ваши???

194.186.60.107, 194.186.60.108

Выберите тип запроса:
Неизвестная вредоносная программа
Ложное срабатывание
Запрос на описание вредоносной программы

что выбрать?

DNS ваши???
194.186.60.107, 194.186.60.108
да

Тип запроса: Неизвестная вредоносная программа.
Как сделать фикс в HJT (http://virusnet.info/forum/showthread.php?t=9)
Сделайте новые логи AVZ и HJT, выложите лог MBAM.

Смотрите

В лабораторию не отправил - слишком большой файл

Антивирус ожил, обновился, поставил на полную проверку

На всякий случай сделайте лог CF

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

Что с проблемами?

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ajxbha9.exe,

Эту строчку Фиксили? (http://virusnet.info/forum/showthread.php?t=9)


А карантин пробуйте отправить на http://www.virustotal.com/ru/

Эту строчку Фиксили? »
Пофиксил, не говорите как фиксить, я знаю :)
А карантин пробуйте отправить на http://www.virustotal.com/ru/ »
Чист. (http://www.virustotal.com/ru/analisis/9710744c46a10c4816c7fd55a05715a6c4a3e28fe1c676a66765e165171a2180-1274387668)

Как самочуствие?
Выложите лог ComboFix

после фикса

MotherBoard, большое Вам спасибо.
Ноут хоть вести себя стал адекватно. Я уже ОСь сносить хотел.
Выложите лог ComboFix »
Щас Касперский закончит работу, потом выложу

Какая-то дурацкая программа

Такой новый лог видела: virusinfo_syscheck.zip
А этого не было: virusinfo_syscure.zip
Можете отдельно выполнить третий стандартный скрипт или забыли выложить? :)

Возможно, инфицирован системный файл c:\windows\system32\sethc.exe
Проверьте его на том же вирустотал, что я давалассылку (http://www.virustotal.com/ru/)
Если файл действительно окажется инфицированным, то произведите замену на здоровый файл из дистрибутива


expand X:\i386\sethc.ex_ c:\windows\system32\sethc.exeГде X: - буква вашего CD\DVD привода- буква дисковода, под которой ваш СД/ДВД привод находится в окне:мой компьютер
Имейте в виду, что диск дистрибутива должен быть по пакету обновлений такой же, как и ваша ОС на ПК.
У вас стоит SP3, значит и нужен диск ХР SP3, с которого эта система ставилась.
Очистите временные файлы, как это указано в правилах.
Создайте новую точку восстановления и очистите предыдущие. подробнее (http://virusnet.info/forum/showthread.php?t=2065)

Карантин, расположенный в корне диска C:\Qoobox\Quarantine отправьте через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html) , как я писала выше, если не получается, то отправьте на вирустотал, результаты сообщите в теме.

Неосторожное обращение с СF может привести к краху системы, поэтому:
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
Или:
Скачайте OTCleaIt (http://oldtimer.geekstogo.com/OTC.exe) , запустите, нажмите Clean up

Удалите так же через пуск/Панель управления/установка и удаление программ/MBAM.
Антивирус сильный, но ругается на всевозможные кряки, может быть конфликт в системе. Поэтому попользовались и деинсталируйте :)

Что с проблемами? Как самочувствие пациента?

bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, shdocvw.dll
Вредоносный код в файлах не обнаружен.

sethc.exe чист (http://www.virustotal.com/ru/analisis/f961a638160cd2783891252eb7244887e3797113d97765ac28fad7ffcadb99c8-1274466479)

Как самочувствие? Всё ли в порядке? Если всё нормально, то отметьте в настройках темы, что вопрос решён.
Если есть ещё проблемы: не стесняйтесь, говорите. :)