Показано с 1 по 8 из 8.

Вирус Trojan_Win32_VBKrypt. Помогите вылечить (заявка № 101002)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52

    Thumbs up Вирус Trojan_Win32_VBKrypt. Помогите вылечить

    Доброй ночи.
    Помогите вылечить ПК.
    При включение интернета, очень долго загружается (т.е. стартовая страница Firefox).
    Начал смотрет tcpview нашел активный поток приложением fvrgmt.exe - лезет на адрес 178.211.56.105. Убил процес + файл. инет начал работать нормально. после перезагрзке ситуация повторяется.
    Помогит пожалуйста вылечить ПК.

    Логи привожу.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\86.scr','');
     QuarantineFile('C:\WINDOWS\system32\fvrgmt.exe','');
     DeleteFile('C:\WINDOWS\system32\fvrgmt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\86.scr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Установите все новые обновления для Windows

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52

    Сделал все как написали.

    Спасибо за быстрый отзыв!

    После выполнения кода в AVZ (пк перезагрузился) и в процессах все так же остался fvrgmt.exe
    Поставил новый антивирус. С ходу обнаружил. и изолировал.

    Логи привожу.

    Результат загрузки карантина:
    Файл сохранён как 110419_081517_virus_4dad449552cbc.zip
    Размер файла 128767
    MD5 b62a7cf607fccfe90b603880d411db8a

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DelCLSID('{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP}');
     QuarantineFile('c:\LGDjl.exe','');
     TerminateProcessByName('c:\windows\system32\fvrgmt.exe');
     DeleteFile('c:\windows\system32\fvrgmt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('c:\LGDjl.exe');
     DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\D7T511FN', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM оставшееся из этого
    Код:
    Заражённые процессы в памяти:
    c:\WINDOWS\system32\fvrgmt.exe (Backdoor.Agent) -> 2160 -> No action taken.
    
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP} (Backdoor.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP} (Backdoor.Agent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP} (Backdoor.Agent) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.Agent) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.Agent) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\heBwGQl (Backdoor.Agent) -> Value: heBwGQl -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ybaS886PuG6WQ (Backdoor.Agent) -> Value: ybaS886PuG6WQ -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ybaS886PuG6WQ (Backdoor.Agent) -> Value: ybaS886PuG6WQ -> No action taken.
    
    
    Заражённые файлы:
    c:\WINDOWS\system32\fvrgmt.exe (Backdoor.Agent) -> No action taken.
    \LGDjl.exe (Backdoor.Agent) -> No action taken.
    c:\LGDjl.exe (Backdoor.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\D7T511FN\f[1].exe (Backdoor.Agent) -> No action taken.
    d:\install\avz v.4.34\avz v.4.34\quarantine\2011-04-18\avz00001.dta (Backdoor.Agent) -> No action taken.
    d:\install\avz v.4.34\avz v.4.34\quarantine\2011-04-18\avz00002.dta (Backdoor.Agent) -> No action taken.
    d:\install\avz v.4.34\avz v.4.34\quarantine\2011-04-19\avz00001.dta (Backdoor.Agent) -> No action taken.
    c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52

    Сделал

    Сделал.
    Логи привожу.

    Кстати сейчас уже не наблюдается в сетевых соединениях "посторонних" соединений.

    Карантин
    Файл сохранён как 110419_141715_quarantine_4dad996b2ddad.zip
    Размер файла 64382
    MD5 7b6845cd64b7436e416956dddf692bc6

    Большое спасибо за помощь!

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ничего необычного
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52
    Ок, еще раз всем спасибо за помощь!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\lgdjl.exe - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
      2. c:\\windows\\system32\\fvrgmt.exe - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
      3. c:\\windows\\system32\\86.scr - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )


  • Уважаемый(ая) forever, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус smaxxi.biz помогите вылечить!!!
      От Ксения1986 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 29.04.2012, 19:38
    2. Помогите вылечить вирус))
      От darik97 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.04.2012, 12:38
    3. Помогите вылечить вирус
      От Adelle в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.03.2011, 13:33
    4. Помогите вылечить вирус!
      От Salopaeva в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 11.11.2009, 00:14
    5. Что за вирус? Помогите вылечить!
      От anubiss в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.03.2008, 02:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00083 seconds with 19 queries