-
Junior Member
- Вес репутации
- 48
Вирус "жрёт"систему уже четвертый день...
Доброго времени суток дорогие Хелперы!
У меня тут полная засада...Вирус засел, и не выковыряешь...
Вначале был один visdrive.exe, грузил процессор на 100% и открывался бесконечным количеством процессов в Диспетчере Задач. Причём вирус засел при активном сканировании DrWeb, после чего у меня стало при загрузке автоматически открываться окно "Мои документы", стал пропадать звук воспроизведения мультимедия, т.е. его надо было каждый раз устанавливать, вместо привычной панели задач, появилась панель, а-ля Windows 95/98 и пропала связь с сервером DrWeb, т.е. он перестал работать. Тормозило всё не по детски, поэтому установил заново Windows XP SP3. Но напрасно спустя некоторое время, при восстановлении прежних програм и утилит всё начиналось заново.
Нашёл Ваш сайт, прочёл инструкцию, переустановил Windows, загрузил DrWeb Currient (предпочёл его потому что базовый не возможно было запустить из-за отсутствия связи с сервером, а при переустановке системы он удалился), запустил в усиленном режиме, быстро и полно, два раза... перезагрузился, снова проверил на вирусы, всё ОК... Заново загрузил с сервера моего провайдера базовый антивирус DrWeb, вначале не было связи с сервером, ....
....но как только вроде заработали системы самозащиты и агенты антивируса, как БАЦ, снова таже проблема, только процесс грузит уже другой sjrcс.exe или crcjс.exe, точно не запомнил... Вновь переустановил Windows, создал логи, и приложил к этому письму...
Тех.поддержка моего провайдера только разводит руками, мол это всё Ваш компьютер... но как же так, система переустановлена, на вирусы проверенна (закралось такое впечатления, что на меня усиленно кого-то травят, не просто случайно какой-то вирус, а направленный.. но это лишь догадки..слишком много недругов знают как меня найти)
Извиняюсь за обширность, но я должен был быть понятен, и точно излагать описания "электронной лихорадки" моего "компьютерного малыша".
C уважением...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) BadDog, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('c:\windows\system32\taskmgr.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 48
Done.....
Вот то что необходимо...
Надеюсь Вы уже получили Файл quarantine.zip , сделал всё как положено...
О'Кей..
-
-Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('Netmanm');
TerminateProcessByName('c:\windows\system32\crssc.exe');
TerminateProcessByName('c:\windows\aadrive32.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('c:\windows\system32\crssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\40.scr');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('C:\WINDOWS\system32\crssc.exe');
DeleteFileMask('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
-удалите в MBAM ооставшееся из этого
Код:
Заражённые процессы в памяти:
c:\WINDOWS\system32\crssc.exe (Trojan.Downloader) -> 1708 -> No action taken.
c:\WINDOWS\system32\wmisrv.exe (Trojan.Dropper) -> 1920 -> No action taken.
c:\WINDOWS\aadrive32.exe (Malware.Gen) -> 2864 -> No action taken.
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmanm (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Trojan.Downloader) -> Value: Tnaww -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Downloader) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\crssc.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\wmisrv.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\aadrive32.exe (Malware.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\QVC6N81W\logo[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\12XVCJ3S\j1[1].exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\AR95LDS4\dci[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\администратор\application data\1.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\администратор\application data\2.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\application data\3.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\администратор\application data\4.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\application data\5.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\администратор\application data\6.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\application data\9.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\администратор\application data\A.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\application data\B.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\администратор\application data\C.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\application data\frpgpl.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\40.scr (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\51.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 48
Завершено...
Вот последние ЛОГ'и после чистки компьютера,
....только вот при удалении в MBAM, несколько процессов описаных в логе на удаление, при втором сканировании я не нашел... наверное их удалил AVZ...
Вот думаю запустить DrWeb CureIT, или не надо...
Последний раз редактировалось BadDog; 18.05.2011 в 02:37.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('mqqlwv.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Frpgpl.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Frpgpl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Frpgpl');
DeleteFile('mqqlwv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('mqqlwv.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip; - Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 48
Ффььююю...
Карантин отправлен по ссылке, вот ЛОГ'и...
Ну у Вас и наука я Вам скажу, .... .... по хлеще там всяких...
-
Junior Member
- Вес репутации
- 48
YEsssss..
Мой антивирус заработал, значит всё окей....
Данную тему можно закрыть...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Menti.gktf ( DrWEB: BackDoor.Siggen.31020, BitDefender: Worm.Generic.333900, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan-Downloader.Win32.Injecter.fuc ( DrWEB: Trojan.Inject.38501, BitDefender: Trojan.Generic.5945724, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\aadrive32.exe - Trojan.Win32.Menti.gksz ( DrWEB: BackDoor.Siggen.31020, BitDefender: Trojan.Generic.KD.224567, NOD32: IRC/SdBot trojan, AVAST4: Win32:KillAV-AHK )
-