-
Junior Member
- Вес репутации
- 52
Вирус Trojan_Win32_VBKrypt. Помогите вылечить
Доброй ночи.
Помогите вылечить ПК.
При включение интернета, очень долго загружается (т.е. стартовая страница Firefox).
Начал смотрет tcpview нашел активный поток приложением fvrgmt.exe - лезет на адрес 178.211.56.105. Убил процес + файл. инет начал работать нормально. после перезагрзке ситуация повторяется.
Помогит пожалуйста вылечить ПК.
Логи привожу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\86.scr','');
QuarantineFile('C:\WINDOWS\system32\fvrgmt.exe','');
DeleteFile('C:\WINDOWS\system32\fvrgmt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\86.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сделал все как написали.
Спасибо за быстрый отзыв!
После выполнения кода в AVZ (пк перезагрузился) и в процессах все так же остался fvrgmt.exe
Поставил новый антивирус. С ходу обнаружил. и изолировал.
Логи привожу.
Результат загрузки карантина:
Файл сохранён как 110419_081517_virus_4dad449552cbc.zip
Размер файла 128767
MD5 b62a7cf607fccfe90b603880d411db8a
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelCLSID('{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP}');
QuarantineFile('c:\LGDjl.exe','');
TerminateProcessByName('c:\windows\system32\fvrgmt.exe');
DeleteFile('c:\windows\system32\fvrgmt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('c:\LGDjl.exe');
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\D7T511FN', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- удалите в MBAM оставшееся из этого
Код:
Заражённые процессы в памяти:
c:\WINDOWS\system32\fvrgmt.exe (Backdoor.Agent) -> 2160 -> No action taken.
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP} (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP} (Backdoor.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{BJYM3OUK-7ARQ-WY6G-4SJK-V24PYUUUQ4AP} (Backdoor.Agent) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\heBwGQl (Backdoor.Agent) -> Value: heBwGQl -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ybaS886PuG6WQ (Backdoor.Agent) -> Value: ybaS886PuG6WQ -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ybaS886PuG6WQ (Backdoor.Agent) -> Value: ybaS886PuG6WQ -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\fvrgmt.exe (Backdoor.Agent) -> No action taken.
\LGDjl.exe (Backdoor.Agent) -> No action taken.
c:\LGDjl.exe (Backdoor.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\D7T511FN\f[1].exe (Backdoor.Agent) -> No action taken.
d:\install\avz v.4.34\avz v.4.34\quarantine\2011-04-18\avz00001.dta (Backdoor.Agent) -> No action taken.
d:\install\avz v.4.34\avz v.4.34\quarantine\2011-04-18\avz00002.dta (Backdoor.Agent) -> No action taken.
d:\install\avz v.4.34\avz v.4.34\quarantine\2011-04-19\avz00001.dta (Backdoor.Agent) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Сделал
Сделал.
Логи привожу.
Кстати сейчас уже не наблюдается в сетевых соединениях "посторонних" соединений.
Карантин
Файл сохранён как 110419_141715_quarantine_4dad996b2ddad.zip
Размер файла 64382
MD5 7b6845cd64b7436e416956dddf692bc6
Большое спасибо за помощь!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Ок, еще раз всем спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\lgdjl.exe - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
- c:\\windows\\system32\\fvrgmt.exe - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
- c:\\windows\\system32\\86.scr - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
-