-
Junior Member
- Вес репутации
- 43
Explorer.exe просто ничего не помогает... [Trojan.Win32.Jorik.Nrgbot.ti, , Trojan.Win32.Jorik.IRCbot.oxp
]
Здравствуйте! прошу помощи в решении проблемы...
Около недели назад появился вирус с названием yadrive32.exe и wrdrive32.exe
при этом при загрузке компьютера вылетала ошибка explorer.exe после нажатия на "не отправлять" оболочка пропадала и возвращалась,но спустя 5-10 минут во всех браузерах переставало заходить на ЛЮБЫЕ сайты,буть то локальные или в открытом интернете(но почему то работал скайп)
Пытался 5 раз переустановить винду,форматировал оба диска,предварительно скопировав нужную информацию на флешку...после установки винды,установил всего 4-5 программ с флешки,и спустя 30-60 минут компьютер начинает сильно тормозить,в диспетчере задач процесс explorer.exe жрет 99% цп,появляется примерно 20-30 процессов с названием IEXPLORER.EXE и процессы с именами 1.exe 10.exe 31.exe и тд. wrdrive32.exe и yadrive32.exe
Просто уже не знаю что делать,помогите пожалуйста hijackthis.logvirusinfo_syscure.zipvirusinfo_syscheck.zip надеюсь логи прикрепил правильно,не особо шарю в этом
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) OrangeIv, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\RECYCLER\logon.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Kekskc.scr','');
TerminateProcessByName('c:\windows\wrdrive32.exe');
QuarantineFile('c:\windows\wrdrive32.exe','');
DeleteFile('c:\windows\wrdrive32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Kekskc.scr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kekskc');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\RECYCLER\logon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Remote Shell Manager');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tbrena');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\58.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
-
OrangeIv, OrangeIv,
Здравствуйте!
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\yadrive32.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\3.exe');
QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmngs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini','');
QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\new.bin','');
QuarantineFile('C:\Documents and Settings\Администратор\fuwin3.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\ayokh.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\63.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Aeksks.scr','');
QuarantineFile('c:\windows\yadrive32.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\3.exe','');
QuarantineFileF('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true, '', 0, 0);
DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmngs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini');
DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\new.bin');
DeleteFile('C:\Documents and Settings\Администратор\fuwin3.exe');
DeleteFile('C:\Documents and Settings\Администратор\ayokh.exe');
DeleteFile('c:\documents and settings\Администратор\application data\3.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Aeksks.scr');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\yadrive32.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true);
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '*.gonewiththewings', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
end.
Файл quarantine_2.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте лог AVZ + лог RSIT
Последний раз редактировалось Дeнис; 02.08.2012 в 16:14.
-
-
Junior Member
- Вес репутации
- 43
-
OrangeIv,
В логах порядок
Последний раз редактировалось thyrex; 02.08.2012 в 17:12.
-
-
Junior Member
- Вес репутации
- 43
Да, спасибо, вирусов и этих процессов вроде больше нет,но система все равно притормаживает,при том условии что ей всего 2 дня
Но с этим уже видимо ничего не поделаеш
-
-
-
Junior Member
- Вес репутации
- 43
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 68
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\aeksks.scr - Trojan.Win32.Jorik.Nrgbot.sj ( DrWEB: Trojan.DownLoad3.8247, BitDefender: Trojan.Generic.KDV.684744 )
- c:\\documents and settings\\администратор\\application data\\kekskc.scr - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\application data\\new.bin - Trojan.Win32.Buzus.lwby ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\application data\\recycler\\logon.exe - Trojan.Win32.Jorik.IRCbot.oxp ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KDV.685421, AVAST4: Win32:Kryptik-GZC [Trj] )
- c:\\documents and settings\\администратор\\application data\\3.exe - P2P-Worm.Win32.Palevo.fclv ( DrWEB: Trojan.Siggen.65039, BitDefender: Gen:Variant.Graftor.38661, AVAST4: Win32:Downloader-PCM [Trj] )
- c:\\documents and settings\\администратор\\ayokh.exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\fuwin3.exe - Trojan.Win32.Jorik.Nrgbot.sj ( DrWEB: Trojan.DownLoad3.8247, BitDefender: Trojan.Generic.KDV.684744 )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\i8ioqbxc\\hj3[1].exe - Trojan.Win32.Jorik.Nrgbot.sj ( DrWEB: Trojan.DownLoad3.8247, BitDefender: Trojan.Generic.KDV.684744 )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\ngusp[1].exe - Trojan.Win32.Bublik.ean ( DrWEB: Trojan.Packed.22950, BitDefender: Gen:Variant.Symmi.162, AVAST4: Win32:Downloader-PCM [Trj] )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\1888[1].exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\1888[2].exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\2888[1].exe - Trojan.Win32.Buzus.lwby ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\r71pyllq\\2888[1].exe - Trojan.Win32.Buzus.lwby ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\xedvf6q6\\1888[1].exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\avmngs.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-14699\\brenasa.exe - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 )
- c:\\windows\\system32\\48.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
- c:\\windows\\system32\\58.exe - Trojan.Win32.Jorik.IRCbot.oxp ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KDV.685421, AVAST4: Win32:Kryptik-GZC [Trj] )
- c:\\windows\\system32\\63.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
- c:\\windows\\system32\\78.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
- c:\\windows\\wrdrive32.exe - Trojan-Downloader.Win32.Pakes.oo ( BitDefender: Gen:Variant.Kazy.82169 )
- c:\\windows\\yadrive32.exe - Net-Worm.Win32.Kolab.bitz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.82169 )
-