-
Junior Member
- Вес репутации
- 47
Вирус скушал NOD32 и продолжает кушать систему.
Система:
Windows 7
32 bit
Eset NOD32
Краткое описание:
Комп подхватил вирус. Антивирусник(ESET NOD32 4 версии) молчал.
Решил проверить комп на вирусы: нажимаю на значок NOD32, а там выскакивает красное окошко:
ВНИМАНИЕ!
ESET NOD32 Antivirus работает в режиме усиленной защиты.
Это временная мера, необходимая для моментального реагирования на угрозы со стороны вирусных программ.
От Вас не требуется никаких действий.
---
Вот ссылка на окошко: http://clip2net.com/clip/m21565/1307...-clip-65kb.jpg
---
Позже вирус начал блокировать интернет сайты. Проверял файл hosts - ничего нового нету. 1 строка как и положено.
---
Скачал утилиту от Dr.Web, чтобы вылечить комп. Вирусы нашло, вылечило, что не вылечило удалило.
После ребута комп стал работать неадекватно:
Загружается в обычном режиме, проходит пару секунд - перезагружается и заргужается в безопасном режиме. Проходит около 30 секунд - перезагружается в обчный режим, и так по кругу бесконечно.
Пришлось делать откат системы.
---
Прикрепляю все файлы, которые указаны в правилах оформления темы.
Надеюсь на вашу помощь. Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) TDLucky, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\update.2\svchost.exe','');
QuarantineFile('C:\Windows\systemup.exe','');
QuarantineFile('C:\Windows\services32.exe','');
SetServiceStart('srviecheck', 4);
DeleteService('srviecheck');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
QuarantineFile('c:\windows\update.1\svchost.exe','');
TerminateProcessByName('c:\windows\update.2\svchost.exe');
QuarantineFile('c:\windows\update.2\svchost.exe','');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\update.1\svchost.exe');
DeleteFile('C:\Windows\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','scr');
DeleteFile('services32.exe');
DeleteFile('C:\Windows\systemup.exe');
DeleteFile('C:\Windows\update.2\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Уважаемый thyrex, благодарю за столь быструю реакцию. Всё сделал, как вы сказали.
Закачал карантин
Скрытый текст
Результат загрузки
Файл сохранён как 110605_193040_mbam-log-2011-06-05 (21-58-45)_4debd960178dc.zip
Размер файла 1176
MD5 114121fe4c1fa43ed739f1c638ccdfba
Файл закачан, спасибо!
Скрыть
Жду дальнейших инструкций.
p.s. в Malwarebytes не удалял инфицированные файлы. Программу не закрывал.
-
Здравствуйте!
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте повторные логи
Сообщение от
TDLucky
p.s. в Malwarebytes не удалял инфицированные файлы. Программу не закрывал.
Приложите лог, как Вам сказали выше.
-
-
Junior Member
- Вес репутации
- 47
Ой, я допустил ошибку. Загрузил вместо карантина логи malwarebytes'а.
Перезалил файл карантина:
Скрытый текст
Результат загрузки
Файл сохранён как 110605_200639_virus_4debe1cf2a112.zip
Размер файла 1924104
MD5 d06cae329e1c593d55b07e102d60b906
Файл закачан, спасибо!
Скрыть
-
Удалите в MBAM:
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
Зараженные файлы:
c:\Windows\106518.exe (Trojan.Agent) -> No action taken.
c:\Windows\215292.exe (Trojan.Agent) -> No action taken.
d:\Скачка\avz4\avz4\quarantine\2011-06-05\avz00003.dta (Trojan.Agent) -> No action taken.
c:\Windows\loader10.exe_ok (Malware.Trace) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 47
Итак, прикрепляю новые логи.
-
Пофиксите в HJT:
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
В остальном чисто.
Проблема решена ?
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 47
Сейчас буду проверять.
Спасибо Вам за помощь.
Последний раз редактировалось TDLucky; 06.06.2011 в 11:56.
-
Junior Member
- Вес репутации
- 47
Спасибо всем за помощь. Проблема исчезла.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\systemup.exe - Backdoor.Win32.Delf.zmx ( DrWEB: Trojan.DownLoader3.12861, BitDefender: Trojan.Generic.6104795, AVAST4: Win32:Delf-QBF [Trj] )
- c:\\windows\\update.1\\svchost.exe - Trojan-PSW.Win32.VKont.bhn ( DrWEB: Trojan.VkBase.30, BitDefender: Trojan.Generic.6090998, NOD32: Win32/Delf.QCZ trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\update.2\\svchost.exe - Trojan.Win32.VkHost.dug ( DrWEB: Trojan.DownLoader3.56648, BitDefender: Generic.Malware.SFHYVdhidWkg.D9EB8E53, AVAST4: Win32:Delf-QBF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-