-
Junior Member
- Вес репутации
- 43
Подозрительные процессы в диспетчере задач, проблемы с Интернетом [Trojan.Win32.Inject.ejdr, Backdoor.Win32.Azbreg.bww
]
Доброго времени суток! У меня несколько проблем, очень надеюсь, что Вы поможете.
Во-первых, у меня периодически стал пропадать Интернет. То есть, после перезагрузки компьютера он работает некоторое время, затем отключается без сообщения об ошибке. Затем оформление панели задач и окон меняется на классический стиль, хотя у меня стоит другой.
Во-вторых, я заметила подозрительные процессы в диспетчере задач: yadrive32.exe, drwtsn32.exe и др. Если их завершить, то при перезагрузке они запускаются опять. Также выскакивает сообщение об ошибке:
16-разрядная подсистема MS-DOS
C:/DOCUME~1/Admin/APPLIC~1/1A5.exe
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:06e2 IP:0234 OP:63 73 73 22 3e Для завершения работы приложения нажмите кнопку "Закрыть".
В-третьих, если подключить флешку, на ней появляются скрытые папки и файлы, которые не удаляются.
И ещё, иногда не заходит на некоторые сайты, например: Wikipedia, Google, Youtube, Adobe, Facebook. Просто пишет, что не удаётся найти удалённый сервер.
Вроде бы всё, прикрепляю логи. Надеюсь на помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Tpycuxa, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\71.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\54.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\27.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sp_rsdrv2.sys','');
QuarantineFile('C:\WINDOWS\yadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Wrhmhi.scr','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Wrhmhi.scr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wrhmhi');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tbrena');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\yadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
+ такой отчёт: http://virusinfo.info/showthread.php?t=115256
-
-
Junior Member
- Вес репутации
- 43
Файл сохранён как 120725_191625_quarantine_50104609948a4.zip
Размер файла 468855
MD5 101197a436817dbf8dabc97dc362c473
Сейчас буду делать логи.
- - - Добавлено - - -
Вот логи:
-
Junior Member
- Вес репутации
- 43
-
1. Скачайте файл script.txt из вложения ниже;
2. Откройте AVZ и щёлкните файл -> выполнить скрипт;
3. Нажмите кнопку "загрузить" и выберите полученный файл script.txt;
4. Нажмите кнопку "запустить"
Компьютер перезагрузится.
Файл quarantine_2.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Сделайте отчёт программы RSIT заново.
-
-
Junior Member
- Вес репутации
- 43
Файл сохранён как 120726_163140_quarantine_2_501170ec9b1b1.zip
Размер файла 121541
MD5 d3cab58caae64ee25e364c31cba0932a
Отчёт:
-
Установите SP3 + все последующие обновления.
Проблема решена?
-
-
Junior Member
- Вес репутации
- 43
Да, спасибо большущее! Отличный сайт. Теперь всё работает нормально.
А SP3 - это Service Pack 3, я так понимаю? Не подскажете, как это устанавливать?
-
-
-
Junior Member
- Вес репутации
- 43
Спасибо, так и сделаю.
- - - Добавлено - - -
А что означает: "Не нажимайте кнопку «ЗАГРУЗИТЬ», если требуется выполнить обновление только на одном компьютере" в ссылке на SP3?
-
Вам проще включить автоматическое обновление и Windows разберётся, что необходимо обновить.
-
-
Junior Member
- Вес репутации
- 43
Ладно, ещё раз благодарю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\wrhmhi.scr - Trojan.Win32.Bublik.dpu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.677160 )
- c:\\documents and settings\\admin\\application data\\1b8.exe.gonewiththewings - Trojan.Win32.Inject.ejdr ( DrWEB: Trojan.Necurs.21, BitDefender: Gen:Variant.Graftor.37297 )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-14699\\brenasa.exe - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 )
- c:\\windows\\system32\\03.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\04.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\06.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\26.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\27.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\30.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\43.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\48.exe - Backdoor.Win32.Azbreg.bww ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Graftor.37297 )
- c:\\windows\\system32\\54.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\56.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\68.exe - Backdoor.Win32.Azbreg.bww ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Graftor.37297 )
- c:\\windows\\system32\\71.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\75.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\82.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\system32\\86.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
- c:\\windows\\yadrive32.exe - Net-Worm.Win32.Kolab.bitz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.82169 )
-