Стал счастливым обладателем этого вируса... помогите пожалуйста...
Стал счастливым обладателем этого вируса... помогите пожалуйста...
Уважаемый(ая) DviK, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\62.exe',''); QuarantineFile('C:\WINDOWS\system32\12.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\jodrive32.exe',''); QuarantineFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe',''); QuarantineFile('C:\Documents and Settings\Двик\Application Data\Jwrwrf.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\WINDOWS\system32\72.exe',''); QuarantineFile('C:\WINDOWS\system32\18.exe',''); QuarantineFile('C:\WINDOWS\system32\bsysmgr.exe',''); QuarantineFile('C:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\Documents and Settings\Двик\Application Data\Jwrwrf.exe'); DeleteFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe'); DeleteFile('C:\WINDOWS\jodrive32.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\12.exe'); DeleteFile('C:\WINDOWS\system32\62.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\WINDOWS\aadrive32.exe'); DeleteFile('C:\WINDOWS\system32\bsysmgr.exe'); DeleteFile('C:\WINDOWS\system32\18.exe'); DeleteFile('C:\WINDOWS\system32\72.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jwrwrf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pyrwrl'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Выполнил скрипт, и после перезагрузки никаких левых процессов не было... Но буквально через минуты 3-5 стали появляться процессы: 51.tmp 52.tmp 53 61, и так далее... Затем опять же скачались и jodrive32.exe и bsysmgr.exe... Так же запускаются и 62.exe (цифры не точные).
Сделал новый лог только что, уже с заново появившимся вирем... Процессы убивал вручную, они ваще avz вырубают сразу сами....
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe',''); QuarantineFile('C:\WINDOWS\system32\60.exe',''); QuarantineFile('C:\WINDOWS\system32\54.exe',''); QuarantineFile('C:\WINDOWS\system32\38.exe',''); QuarantineFile('C:\WINDOWS\system32\21.exe',''); QuarantineFile('C:\WINDOWS\system32\07.exe',''); QuarantineFile('C:\WINDOWS\system32\05.exe',''); BC_DeleteFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); BC_DeleteFile('C:\WINDOWS\jodrive32.exe'); BC_DeleteFile('C:\WINDOWS\system32\bsysmgr.exe'); BC_DeleteFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe'); DeleteFile('C:\WINDOWS\system32\05.exe'); DeleteFile('C:\WINDOWS\system32\07.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\38.exe'); DeleteFile('C:\WINDOWS\system32\54.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pyrwrl'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Сделал. Пока что никаких новых (левых) процессов не запускается... Сделал логи...
в реестре нашел имена этих вирусов в папке:
HKEY_USERS\S-1-5-21-73586283-1659004503-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he
Вот прям щас появился и тут же исчез процесс "58.exe"
Так же появился pyrwrl.exe, и всякие 5D.tmp, 5A.tmp, 5E.tmp
Ну и bsysmgr появился....
aadrive32 тоже тут как тут....
Сделайте лог MBAM.
не могу зайти на этот сайт, чтоб скачать... блокирует вирус... Так же невозможно зайти на сайты любых антивирусников (нод, каспер, дрвеб)
Попробуйте скачать отсюда.
Спасибо, скачал. Сделал быстрое сканирование.
УХ ёёёё.... зараженных файлов 206
удалять все что нашел??
Последний раз редактировалось DviK; 28.06.2011 в 19:10.
Удалите в МВАМ все, кромеУстановите все новые обновления для WindowsКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Долго не мог зайти на сайт (Этот тоже стал блокался вирусом).
Вылечился cureit'ом, найдя вирус в semkhs.dll
в мбаме нажал вылечить все, (нужные файлы тоже)
Как только загружается система все нормально - но потом начинают опять открываться процессы цифра.exe и появляются в C:\WINDOWS\system32\88.exe
ну весь пакет этой заразы опять появился...
Последний раз редактировалось DviK; 28.06.2011 в 20:05.
Сделайте новый лог MBAM.
Выгрузите все установленные P2P-клиенты.
Вычистил мбамом в безопасном режиме все. Но как тока захожу в обычном (или с поддежкой сетевых драйверов), вся фигня опять появляется... Причем появляется по ходу сканирования (пару раз даже вылетает, вирус закрывает походу).
Вот просканировал только что. Думаю, через минут 10 будет еще больше....
Вот еще просканил в безопасном режиме (вычещенным мбамом) avz'шкой
Отключите Ваш ПК от интернета и удалите все найденное в MBAM.
Червяк лезет через расшаренные папки и BitTorrent-клиенты.
Установите все обновления отсюда.
Удалил все найденное, обновил винду. Вроде нормально все. Поставил антивирь и фаервол...
процесс System иногда пытается куда-то лезть... Это и раньше замечал...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\двик\\application data\\jwrwrf.exe - Backdoor.Win32.Ruskill.cwy ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\documents and settings\\двик\\application data\\pyrwrl.exe - Backdoor.Win32.Ruskill.lk ( DrWEB: Trojan.Packed.21761, BitDefender: Trojan.Generic.KDV.266660, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Ruskill.lk ( DrWEB: Trojan.Packed.21761, BitDefender: Trojan.Generic.KDV.266660, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.Scar.edzy ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.271731, AVAST4: Win32:Slenugga [Trj] )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.Scar.edvh ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.KDV.270540, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Slenugga [Trj] )
- c:\\windows\\aadrive32.exe - Net-Worm.Win32.Kolab.aeff ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.6219191, AVAST4: Win32:Slenugga [Trj] )
- c:\\windows\\jodrive32.exe - Net-Worm.Win32.Kolab.aeen ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.6196066, AVAST4: Win32:Slenugga [Trj] )
- c:\\windows\\system32\\bsysmgr.exe - P2P-Worm.Win32.Palevo.drqu ( DrWEB: Trojan.AVKill.9382, BitDefender: Backdoor.Generic.668744, NOD32: Win32/TrojanClicker.VB.NUA trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\12.exe - Backdoor.Win32.Floder.ach ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\18.exe - Backdoor.Win32.Floder.ach ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\62.exe - Backdoor.Win32.Floder.ach ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\72.exe - Backdoor.Win32.Floder.acj ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
Уважаемый(ая) DviK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.