Показано с 1 по 11 из 11.

Сильное вирусное заражение (заявка № 109970)

  1. #1
    Junior Member Репутация
    Регистрация
    30.09.2011
    Сообщений
    5
    Вес репутации
    46

    Сильное вирусное заражение

    Здравствуйте.
    Было сильное вирусное заражение компьютера. Просканировал его в безопасном режиме с помощью утилиты CureIt, она нашла кучу зараженных файлов, но остались подозрения на присутствие вирусов в системе.
    Посмотрите, пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kanti, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{DA2477E7-CF4C-255F-5741-40697330ED12}');
     QuarantineFile('c:\windows\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\nkrfmjmzqjzbnjg4nerc.dll','');
     QuarantineFile('C:\WINDOWS\system32\jjj.exe','');
     QuarantineFile('C:\WINDOWS\system32\gggg.exe','');
     QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\ehevs8.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\6szzkoiujs.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\4.exe','');
     QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\Серега\dfz89yqs79.exe','');
     QuarantineFile('C:\Documents and Settings\Серега\Application Data\4fhj.exe','');
     QuarantineFile('C:\Documents and Settings\Серега\Application Data\KB435218.exe','');
     QuarantineFile('C:\Documents and Settings\Серега\Application Data\netprotocol.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\phllon.sys','');
     DeleteService('abp470n5');
     QuarantineFile('C:\Documents and Settings\Серега\Application Data\MouseDriver.bat','');
     QuarantineFile('c:\windows\system32\nkrfmjmzqjzbnjg4nerc.dll','');
     QuarantineFile('c:\documents and settings\Серега\application data\4fhj.exe','');
     TerminateProcessByName('c:\documents and settings\Серега\application data\4fhj.exe');
     DeleteFile('c:\documents and settings\Серега\application data\4fhj.exe');
     DeleteFile('c:\windows\system32\nkrfmjmzqjzbnjg4nerc.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\phllon.sys');
     DeleteFile('C:\Documents and Settings\Серега\Application Data\4fhj.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hka5av');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','38t2');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KB435218.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
     DeleteFile('C:\Documents and Settings\Серега\Application Data\netprotocol.exe');
     DeleteFile('C:\Documents and Settings\Серега\Application Data\KB435218.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','dfz89yqs79');
     DeleteFile('C:\Documents and Settings\Серега\dfz89yqs79.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','dfz89yqs79');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\4.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','4');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','4');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\6szzkoiujs.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs');
     DeleteFile('C:\WINDOWS\system32\gggg.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gggg');
     DeleteFile('C:\WINDOWS\system32\jjj.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jjj');
     DeleteFile('C:\WINDOWS\system32\nkrfmjmzqjzbnjg4nerc.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cdfycyyh\Parameters','ServiceDll');
     QuarantineFile('C:\WINDOWS\system32\ghost.exe','');
     DeleteFile('c:\windows\csrss.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host Process for Win32 Services');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Process');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteRepair(17);
     ExecuteRepair(9);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    30.09.2011
    Сообщений
    5
    Вес репутации
    46
    Карантин загрузил
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\WINDOWS\system32\nwcwks.dll', 'MBAM: Trojan.Inject');
    QuarantineFile('c:\WINDOWS\system32\ehevs8.exe', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\WINDOWS\system32\MSWINSCK.OCX', 'MBAM: Worm.Nyxem');
    QuarantineFile('c:\documents and settings\Серега\application data\9qus02crs.exe', 'MBAM: Trojan.Agent.Gen');
    QuarantineFile('c:\documents and settings\Серега\application data\hkoici08.dll', 'MBAM: Adware.Agent');
    QuarantineFile('c:\documents and settings\Серега\application data\kt3q2svd5.exe', 'MBAM: Trojan.Agent.Gen');
    QuarantineFile('c:\documents and settings\Серега\application data\n2iz308a.exe', 'MBAM: Trojan.Agent.Gen');
    QuarantineFile('c:\documents and settings\Серега\application data\netprotdrvss.exe', 'MBAM: Backdoor.IRCBot');
    QuarantineFile('c:\documents and settings\Серега\application data\od02g03da.exe', 'MBAM: Trojan.Agent.Gen');
    QuarantineFile('c:\documents and settings\Серега\application data\p8nw6t5vy.exe', 'MBAM: Trojan.Agent.Gen');
    QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\hkoici08.exe', 'MBAM: Adware.Agent');
    QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\nwcwks.dll', 'MBAM: Trojan.Inject');
    QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\regutils.dll', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\VRTB.tmp', 'MBAM: Backdoor.Agent.H');
    QuarantineFile('c:\program files\complus applications\mdw.dll', 'MBAM: Spyware.Agent');
    QuarantineFile('c:\program files\complus applications\qt3.dll', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\program files\complus applications\repodbc.dll', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\WINDOWS\system32\bpk.dat', 'MBAM: Keylogger');
    QuarantineFile('c:\WINDOWS\system32\inst.dat', 'MBAM: Keylogger');
    QuarantineFile('c:\WINDOWS\system32\pk.bin', 'MBAM: Keylogger');
    QuarantineFile('c:\WINDOWS\system32\sircheckfile.dat', 'MBAM: Malware.Trace');
    QuarantineFile('c:\WINDOWS\AppPatch\AcXtrnal.xml', 'MBAM: Spyware.OnlineGames');
    QuarantineFile('c:\documents and settings\Серега\application data\mousedriver.bat', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\WINDOWS\system32\livefloat.zip', 'MBAM: Adware.Kraddare');
    DeleteFile('c:\WINDOWS\system32\nwcwks.dll');
    DeleteFile('c:\WINDOWS\system32\ehevs8.exe');
    DeleteFile('c:\WINDOWS\system32\MSWINSCK.OCX');
    DeleteFile('c:\documents and settings\Серега\application data\9qus02crs.exe');
    DeleteFile('c:\documents and settings\Серега\application data\hkoici08.dll');
    DeleteFile('c:\documents and settings\Серега\application data\kt3q2svd5.exe');
    DeleteFile('c:\documents and settings\Серега\application data\n2iz308a.exe');
    DeleteFile('c:\documents and settings\Серега\application data\netprotdrvss.exe');
    DeleteFile('c:\documents and settings\Серега\application data\od02g03da.exe');
    DeleteFile('c:\documents and settings\Серега\application data\p8nw6t5vy.exe');
    DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\hkoici08.exe');
    DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\nwcwks.dll');
    DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\regutils.dll');
    DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\VRTB.tmp');
    DeleteFile('c:\documents and settings\Серега\рабочий стол\avz4\avz4\Infected\2011-09-30\avz00002.dta');
    DeleteFile('c:\documents and settings\Серега\рабочий стол\avz4\avz4\Infected\2011-09-30\avz00004.dta');
    DeleteFile('c:\system volume information\_restore{76f49703-965e-4e1c-9b9b-1f406c2a7551}\RP12\A0000254.exe');
    DeleteFile('c:\system volume information\_restore{76f49703-965e-4e1c-9b9b-1f406c2a7551}\RP12\A0000256.exe');
    DeleteFile('c:\WINDOWS\system32\bpk.dat');
    DeleteFile('c:\WINDOWS\system32\inst.dat');
    DeleteFile('c:\WINDOWS\system32\pk.bin');
    DeleteFile('c:\WINDOWS\system32\sircheckfile.dat');
    DeleteFile('c:\documents and settings\Серега\application data\mousedriver.bat');
    DeleteFile('c:\WINDOWS\system32\livefloat.zip');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ все, кроме
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    c:\program files\complus applications\mdw.dll (Spyware.Agent) -> No action taken.
    c:\program files\complus applications\qt3.dll (Trojan.Agent) -> No action taken.
    c:\program files\complus applications\repodbc.dll (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member Репутация
    Регистрация
    30.09.2011
    Сообщений
    5
    Вес репутации
    46
    Карантин загрузил.
    Все рекомендации выполнил.

  9. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    лог мвам и virusinfo_syscheck.zip‎ повторите

  10. #8
    Junior Member Репутация
    Регистрация
    30.09.2011
    Сообщений
    5
    Вес репутации
    46
    Новые логи.
    Вложения Вложения

  11. #9
    Junior Member Репутация
    Регистрация
    30.09.2011
    Сообщений
    5
    Вес репутации
    46
    В логах все чисто?

  12. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 113
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\серега\\application data\\kt3q2svd5.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
      2. c:\\documents and settings\\серега\\application data\\netprotdrvss.exe - Trojan.Win32.Jorik.Buterat.sf ( DrWEB: BackDoor.Butirat.24, BitDefender: Trojan.Generic.KD.361425, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-DW [Trj] )
      3. c:\\documents and settings\\серега\\application data\\netprotocol.exe - Trojan.Win32.Jorik.Buterat.sf ( DrWEB: BackDoor.Butirat.24, BitDefender: Trojan.Generic.KD.361425, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-DW [Trj] )
      4. c:\\documents and settings\\серега\\application data\\n2iz308a.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
      5. c:\\documents and settings\\серега\\application data\\od02g03da.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
      6. c:\\documents and settings\\серега\\application data\\p8nw6t5vy.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
      7. c:\\documents and settings\\серега\\application data\\4fhj.exe - Trojan.Win32.VBKrypt.gust ( DrWEB: Trojan.DownLoader4.60934, BitDefender: Trojan.Generic.6781233, AVAST4: Win32:VB-WXJ [Trj] )
      8. c:\\documents and settings\\серега\\application data\\9qus02crs.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
      9. c:\\documents and settings\\серега\\doctorweb\\quarantine\\hkoici08. exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader5.399, BitDefender: Gen:Variant.Strictor.3999, AVAST4: Win32:Adload-MI [Trj] )
      10. c:\\documents and settings\\серега\\doctorweb\\quarantine\\nwcwks.dl l - Trojan.Win32.Inject.bgkf ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )
      11. c:\\documents and settings\\серега\\doctorweb\\quarantine\\regutils. dll - Trojan.Win32.Small.cmc ( DrWEB: Trojan.Siggen2.28307, BitDefender: Trojan.Generic.5256372, AVAST4: Win32:Malware-gen )
      12. c:\\documents and settings\\серега\\doctorweb\\quarantine\\vrtb.tmp - Backdoor.Win32.Agent.bwey ( DrWEB: Trojan.DownLoader4.62449, BitDefender: Gen:Trojan.Heur.GZ.eCWbbye5eYki, AVAST4: Win32:Malware-gen )
      13. c:\\windows\\system32\\ehevs8.exe - Trojan-Spy.Win32.VB.coq ( DrWEB: Trojan.PWS.Spy.11891, BitDefender: Trojan.Generic.7452666, AVAST4: Win32:Malware-gen )
      14. c:\\windows\\system32\\nkrfmjmzqjzbnjg4nerc.dll - Trojan-Clicker.Win32.Casu.gku ( DrWEB: Trojan.Click1.63043, BitDefender: Trojan.Generic.KDV.372504, NOD32: Win32/TrojanDownloader.Boaxxe.AG trojan, AVAST4: Win32:Malware-gen )
      15. c:\\windows\\system32\\nwcwks.dll - Trojan.Win32.Inject.bgkf ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) kanti, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 24.06.2012, 11:04
    2. после вирусное восстановление win2003
      От Андрей Степанов в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.01.2010, 09:44
    3. Сильное заражение вирусами
      От VRV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.07.2008, 14:48
    4. слиьное заражение
      От fotorama в разделе Помогите!
      Ответов: 57
      Последнее сообщение: 30.04.2008, 14:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01038 seconds with 20 queries