Junior Member
Вес репутации
55
Проблемы с win32/autorun.fakealert.m worm
Добрый вечер! Не могу очистить систему от Win32/AutoRun.FakeAlert.M
Выявил проблему через Nod32 Antivirus 4 версии, но дальше выявления, процесс не пошел, проверка остановилась...
Возникшие проблемы на компьютере:
1. Самопроизвольная перезагрузка через 30 секунд после включения компьютера. Единственное что помогает избежать этой перезагрузки, запуск компьютера через F8, "Запуск компьютера с последней удачной конфигурацией";
2. Существенно замедляет скорость Интернета.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\E187YLY5\xyyandex.net.img_neb1[1].js','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('Yej84');
DeleteService('Yej15');
DeleteService('Winye61');
DeleteService('Winye16');
DeleteService('Winpu40');
DeleteService('Winns62');
DeleteService('Winmr48');
DeleteService('Winaf50');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
DeleteService('rjqhtsdlfikxk');
QuarantineFile('C:\WINDOWS\system32\drivers\wuvljaoggvt.sys','');
DeleteService('Inr61');
QuarantineFile('C:\WINDOWS\System32\Drivers\Inr61.sys','');
DeleteService('WebClientWmdmPmSN');
DeleteService('RpcSshelpsvc');
DeleteService('NetDDENetlogon');
DeleteService('MSIServerTlntSvr');
QuarantineFile('C:\WINDOWS\system32\drivers\187.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\328.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\765.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\203.exe','');
QuarantineFile('c:\windows\system32\servises.exe','');
DeleteFile('c:\windows\system32\servises.exe');
DeleteFile('C:\WINDOWS\system32\drivers\203.exe');
DeleteFile('C:\WINDOWS\system32\drivers\765.exe');
DeleteFile('C:\WINDOWS\system32\drivers\328.exe');
DeleteFile('C:\WINDOWS\system32\drivers\187.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Inr61.sys');
DeleteFile('C:\WINDOWS\system32\drivers\wuvljaoggvt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej84.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\E187YLY5\xyyandex.net.img_neb1[1].js');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
55
Проблемы с win32/autorun.fakealert.m worm
Приведенный скрипт осуществил - не помогло, комьютер так же перезагружается.
Выкладываю карантин и новые логи.
Вложения
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\aec.sys');
DeleteService('Yej84');
DeleteService('Yej15');
DeleteService('Winye61');
DeleteService('Winye16');
DeleteService('Winpu40');
DeleteService('Winns62');
DeleteService('Winmr48');
DeleteService('Winaf50');
DeleteService('synsend');
DeleteService('rjqhtsdlfikxk');
DeleteService('Inr61');
DeleteService('WebClientWmdmPmSN');
DeleteService('RpcSshelpsvc');
DeleteService('NetDDENetlogon');
DeleteService('MSIServerTlntSvr');
DeleteFile('C:\WINDOWS\system32\drivers\203.exe');
DeleteFile('C:\WINDOWS\system32\drivers\765.exe');
DeleteFile('C:\WINDOWS\system32\drivers\328.exe');
DeleteFile('C:\WINDOWS\system32\drivers\187.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Inr61.sys');
DeleteFile('C:\WINDOWS\system32\drivers\wuvljaoggvt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej84.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
55
Вложения
Junior Member
Вес репутации
55
Карантин был сформирован тот же.
выполните скрипт в safe mode
Код:
begin
BC_DeleteSvc('Yej84');
BC_DeleteSvc('Yej15');
BC_DeleteSvc('Winye61');
BC_DeleteSvc('Winye16');
BC_DeleteSvc('Winpu40');
BC_DeleteSvc('Winns62');
BC_DeleteSvc('Winmr48');
BC_DeleteSvc('Winaf50');
BC_DeleteSvc('synsend');
BC_DeleteSvc('rjqhtsdlfikxk');
BC_DeleteSvc('Inr61');
BC_DeleteSvc('WebClientWmdmPmSN');
BC_DeleteSvc('RpcSshelpsvc');
BC_DeleteSvc('NetDDENetlogon');
BC_DeleteSvc('MSIServerTlntSvr');
DeleteFile('C:\WINDOWS\system32\drivers\203.exe');
DeleteFile('C:\WINDOWS\system32\drivers\765.exe');
DeleteFile('C:\WINDOWS\system32\drivers\328.exe');
DeleteFile('C:\WINDOWS\system32\drivers\187.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Inr61.sys');
DeleteFile('C:\WINDOWS\system32\drivers\wuvljaoggvt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej84.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\drivers\aec.sys - Worm.Win32.AutoRun.fvl ( DrWEB: Trojan.NtRootKit.2929, BitDefender: Rootkit.Agent.AIUL )