-
Junior Member
- Вес репутации
- 52
"Перезагрузочные" вирусы на ноутбуке и неудаляемый файл-экзешник
Здравствуйте!
16 апреля в середине дня у меня начал при всякой попытке входа в Интернет перезагружаться компьютер. Потом он стал перезагружаться и просто так. Антивирус (Симантек) почему-то не хотел работать. Когда удалось всё же его включить, он перед каждой перезагрузкой обнаруживал Backdoor.Rustock.
Полное сканирование всего компьютера Симантеком особых результатов не дало, но хотя бы в отсутствии подключения к Интернету перезагружаться комп перестал.
17 апреля благодаря усилиям одного знакомого ноутбук стал нормально вести себя и при выходе в сеть. Все необходимые обновления системы безопасности были установлены. Скачан ДокторВеб, который, кстати, нашёл 10 инфицированных объектов и удалил их.
Однако остался подозрительный скрытый файл fxembk.exe, который не удаляется в обычном режиме, а в безопасном удаляется, но после перезагрузки возникает опять. В свойствах файла дата создания - 16.04.2010, примерно в то время, когда начались все проблемы.
При подключении к Интернету каждый раз выдаётся какая-то ошибка, приходится нажимать кнопку "исправить" в окошке подключения по локальной сети.
Вчера, 18 апреля, появился новый неизвестный процесс pajok.exe.
Отчёты прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Прилагаются куда? Здесь их нет
-
-
Junior Member
- Вес репутации
- 52
Вот, собственно, файлы отчётов.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\pajok.exe');
TerminateProcessByName('c:\docume~1\user_01\locals~1\temp\vwj6d.tmp');
TerminateProcessByName('C:\WINDOWS\system32\moboucou.exe');
TerminateProcessByName('c:\docume~1\user_01\locals~1\temp\2813932.exe');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
QuarantineFile('C:\Documents and Settings\user_01\Application Data\fxembk.exe','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zmhhdtudnttp.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gwvaohi.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\anqlznxfa.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\mequmwcunqg.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\ojibcslfamsl.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\qaesgc.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\iraoycyemjbbftv.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\wtdwqisxvvb.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zxwwrcyckvt.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\fejnocqzgcomgk.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gbweyhvwktyo.sys','');
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\cwgmtvjdvtz.sys','');
QuarantineFile('c:\docume~1\user_01\locals~1\temp\vwj6d.tmp','');
QuarantineFile('c:\windows\system32\pajok.exe','');
QuarantineFile('C:\WINDOWS\system32\moboucou.exe','');
QuarantineFile('c:\docume~1\user_01\locals~1\temp\2813932.exe','');
DeleteFile('c:\docume~1\user_01\locals~1\temp\2813932.exe');
DeleteFile('C:\WINDOWS\system32\moboucou.exe');
DeleteFile('c:\windows\system32\pajok.exe');
DeleteFile('c:\docume~1\user_01\locals~1\temp\vwj6d.tmp');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\cwgmtvjdvtz.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gbweyhvwktyo.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zmhhdtudnttp.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\fejnocqzgcomgk.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zxwwrcyckvt.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\wtdwqisxvvb.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\iraoycyemjbbftv.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\qaesgc.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\ojibcslfamsl.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\mequmwcunqg.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\anqlznxfa.sys');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gwvaohi.sys');
DeleteFile('C:\Documents and Settings\user_01\Application Data\fxembk.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\SYSTEM', '*.*', true);
DeleteDirectory('C:\SYSTEM');
DeleteService('yocctzsvux');
DeleteService('wsapsexrtttj');
DeleteService('wktfydunp');
DeleteService('vlpgzzptpbdllbz');
DeleteService('uyxlkmvywjkkcce');
DeleteService('trxgfbmuxrjp');
DeleteService('qzyewwwaq');
DeleteService('oejsymnmopdrx');
DeleteService('kewdbpglqoata');
DeleteService('jarhtixvntuw');
DeleteService('gzounvorio');
DeleteService('daogktutrivloxj');
DeleteService('buaidehdyfosreo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнила, карантин, вроде, загрузила. Он дошёл? А то в теме здесь не отображается.
Сейчас логи сделаю.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\dnhwame.sys','');
DeleteService('trxgfbmuxrjp');
DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\dnhwame.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + сообщите, решена ли проблема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Отправила второй карантин. Сейчас сделаю логи.
-
Junior Member
- Вес репутации
- 52
Логи AVZ отправляю, а вот с HiJackThis вопрос: там теперь немного другой набор кнопок доступен: вместо "Do a system scan and save a logfile" есть просто "Scan" и "Info on selected item". Просто "скан" нажать достатчно будет?
-
Junior Member
- Вес репутации
- 52
Извините, пожалуйста, сморозила глупость. Там просто другой вид меню надо было выбрать.
Вот третий отчёт.
Проблема, вроде, устранена, хотя иногда всё же приходится перед заходом в Интернет нажимать "Исправить", но редко.
Спасибо!
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
Больше ничего плохого
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо вам большое!
Добавлено через 53 минуты
Прошу прощения, что всё никак не унимаюсь с вопросами.
Сейчас в ходе "беглой" проверки ДокторВеб нашёл и удалил пять инфицированных объектов в папке C:\Documents and Settings\user_01\Local Settings\Temp. Все 5 файлов имею числовое название и расширение .exe.
Угроза квалифицирована как Trojan.DownLoad1.54003
Из неудалённых экзешников с числовым названием в той папке остались:
097.exe
459.exe
641.exe
669.exe
764.exe
960.exe
994.exe
1631.exe, 3734.exe, 4486.exe, 4558.exe, 5955.exe, 7700.exe, 8636.exe, 046117.exe, 82497.exe, 881505.exe, 993484.exe, 6310392.exe, 7958249.exe
Даты создания "свежие": с 17 по 20 апреля сего года.
Не могли бы вы это тоже посмотреть, пожалуйста?
Если даёте добро, то напишите, please, как их можно вам выслать. Тоже через карантин АВЗ?
Последний раз редактировалось Katherine_dea; 21.04.2010 в 01:34.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 52
Закачала карантин.
Кстати, сейчас, когда заходила в Нет, опять пришлось жать кнопку "Исправить". И вылезло сообщение, в заголовке окошечка - надпись "16-разрядная подсистема MS DOS". В самом сообщении вот что:
______________________________
C:\DOCUME~1\user_01\LOCALS~1\Temp\897.exe
процессор NTVDM обнаружил недопустимую инструкцию.
(дальше очень много цифр и букв)
Для завершения работы приложения нажмите кнопку "Закрыть".
______________________________
Когда собирала карантин на отправку, в указанной папке такого файла не было
В свойствах пишет: создан 21 апреля 2010 г., 8:27:33.
То есть пять минут назад.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Лог сделала. Пока заходила в интернет и т.д. Симантек внезапно распознал-таки в шести из указанных выше экзешников вирусы и переместил в карантин.
В отчёте, который сейчас отправляю, не все подозрительные, на мой взгляд, файлы из вот этой папки:
C:\Documents and Settings\user_01\Local Settings\Temp
Сейчас там 15 файлов с числовыми названиями и расширением .exe
Последний раз редактировалось Katherine_dea; 21.04.2010 в 22:19.
-
Запакуйте все подобные файлы в архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
После этого удалите в МВАМ все найденное + вручную удалите все файлы, не попавшие в лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин отправила.
Добавлено через 17 минут
Извините за паникёрство: решила добавить в карантин ещё кое-какие файлы. По ходу выяснила, что следующие файлы в карантин помещаться не хотят:
C:\Documents and Settings\user_01\Local Settings\Temp\MRBF.tmp
C:\Documents and Settings\user_01\Local Settings\Temp\MRBE.tmp
C:\Documents and Settings\user_01\Local Settings\Temp\MRB1D.tmp
C:\Documents and Settings\user_01\Local Settings\Temp\icvqmjylswf9F9F9517.tmp
C:\Documents and Settings\user_01\Local Settings\Temp\~DFC51B.tmp
C:\Documents and Settings\user_01\Local Settings\Temp\fqGF4+SX.htm.part
Добавлено через 8 минут
Сейчас выполняю проверку в МВАМ, чтобы потом удалить файлы, как вы и сказали. Пока проверяется, решила посмотреть, что где может быть не так. Снова появился файл, который в прошлые разы пытались удалить - и удалили! - с помощью АВЗ:
C:\Documents and Settings\user_01\Application Data\fxembk.exe
В свойствах у него:
создан 21 апреля 201 г., изменён 17 апреля, а открыт 22 апреля. Дурдом какой-то...
Добавлено через 7 минут
Появился он и в C:\Documents and Settings\Администратор\Application Data\fxembk.exe
Странно, что его ещё нет по адресу C:\Documents and Settings\All Users\Application Data
Последний раз редактировалось Katherine_dea; 21.04.2010 в 23:08.
Причина: Добавлено
-
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Добавлено через 1 час 4 минуты
097.exe и подобные оказались html-страницами
Последний раз редактировалось thyrex; 22.04.2010 в 00:37.
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-