-
Junior Member
- Вес репутации
- 47
aadrive+syitm
Компьютер под управлением XP работает автономно, установлено прикладное по, мониторится через интернет, постоянно подключен к инету через JPRS модем. Замечены частые перезагрузки, потом отключения от сети. Обнаружены в автозагрузке aadrive.exe и syitm.exe. Использовались AVZ и DrWeb, вроде проблема была решена, после двух рестартов все чисто и никаких лишних процессов. Через три часа опять обрыв подключения к сети и снова в автозагрузке лишние пункты.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) GUDMAN, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
удалите все найденное мбам
віполните скрипт
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\aadrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
установите сп3 + все ! доступные обновления ...
сделайте логи авз в нормальном(!) режиме ...
-
-
А также
Удалите в МВАМ только указанные ниже записи
Код:
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Trojan.Agent) -> Value: Tnaww -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
К сожалению выполнил только инструкции V_Bond , так как сразу рванул лечить комп, он не дома. По пунктам:
-провел новое сканирование MBAM (лог
mbam-log-2011-05-30 (21-31- 2.txt прикладываю) и убил все.
-выполнил скрипт AVZ (релогнулся)
-установил SP3 (релогнулся)
-сделал логи AVZ (прикладываю). Во время проверки AVZ заметил
красные строчки с названиями проблемных файлов.
Завтра с утра попаду к компу - мне выполнить инструкции thyrex ??
-
Сообщение от
GUDMAN
Завтра с утра попаду к компу - мне выполнить инструкции thyrex
В обязательном порядке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\Documents and Settings\ргдш\Application Data\Gknmns.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gknmns');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\aadrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи авз
-
-
Junior Member
- Вес репутации
- 47
Выполнены все рекомендации (кроме #7 от V_Bond - поступили позже). В итоге:
-при просмотре автозагрузки msconfig в наличии
-aadrive32 из C:\WINDOWS
-syitm из C:\RECYCLER
-vsbnblo из C:\RECYCLER
-во время работы выскакивает ошибка Generic Host Process for Win32 Services -
обнаружена ошибка и будет закрыто
-во время работы происходит самопроизвольное перенастраивание рабочего стола -
настроеная как мне удобно панель задач откатывается к стандартным настройкам,
подключеный для безопасного переноса модуль блютуз отваливается и перестает
определяться
-обрывы GPRS и невозможность просмотра сайтов
Свежие логи прикладываю. Начнем сначала?
-
Junior Member
- Вес репутации
- 47
Помогите!! Все стоит, все кувырком!!
Последний раз редактировалось GUDMAN; 31.05.2011 в 14:24.
-
Пофиксите в HijackThis:
Код:
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (file missing)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\ргдш\Application Data\Gknmns.exe','');
DeleteFile('C:\Documents and Settings\ргдш\Application Data\Gknmns.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=102846).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Отчет:
-в HijackThis выделил указаные и удалил
-в AVZ запустил скрипт и поймал синий экран. После релога выполнил скрипт, но
папка в карантине оказалась пустой. Для этого ПК синий экран впервые.
-логи прикладываю
-
I am not young enough to know everything...
-
-
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-