-
Junior Member
- Вес репутации
- 55
Бесконтрольное размножение cmd.exe
Доброго времени суток, уважаемые! Проблема известная, но её решение для меня оказалось затруднительно. В течение работы идёт неторопливое размножение процесса cmd.exe, под предводительством, как я понимаю, services.exe. Последний настойчиво отмахивается от меня табличкой "Я - критический системный процесс" и удаляться отказывается наотрез. Вдобавок я наблюдаю подозрительный процесс mshta.exe который тоже, кажется, намерен приступить к размножению. Проверки мне ничего не дали, в арсенале Spybot и Eset Smart Security, также известный как NOD-четвёрка. Вирусные базы актуальны. AVZ и Kaspersky virus removal tool также показали отрицательный результат. Очень хочется избавиться от гадости, поскольку комп по прошествии времени переходит в эстонский режим, хоть педали для ускорения прикручивай.
Последний раз редактировалось Minoris; 13.06.2009 в 22:33.
Если ударят тебя по правой щеке - ответь сторицей!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\bwLYzf.exe','');
QuarantineFile('c:\o1UBHgN.exe','');
DeleteService('ITGrdEngine');
QuarantineFile('C:\Documents and Settings\\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\Local Settings\Application Data\Microsoft\Windows\services.exe','');
DeleteService('Wyyo Service');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Wyyo\wyyo133.exe','');
QuarantineFile('c:\program files\tom reader russian\tom.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Wyyo\wyyo133.exe');
DeleteFile('C:\Documents and Settings\\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\Local Settings\Application Data\Microsoft\Windows\services.exe');
DeleteFile('c:\o1UBHgN.exe');
DeleteFile('c:\bwLYzf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Закарантинился только Томридер - читалка. Давно им пользуюсь, выслал. Попыток запуска скрипта было две - в нормальном и в безопасном режимах. Второй раз в безопасном, последние логи прилагаю.
Последний раз редактировалось Minoris; 13.06.2009 в 22:33.
Если ударят тебя по правой щеке - ответь сторицей!
-
Пофиксить в HiJack
Код:
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Msn] c:\ymiW.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MsnMessendger] c:\ymiW.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Msn] c:\ymiW.exe (User 'Default user')
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\services.exe','');
QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
DeleteService('ITGrdEngine');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Ситуация не слишком поменялась... Что-то генерит у меня в корне диска С: кучу разноимённых *.bat и *.exe, вкупе с редкими текстовиками, и экзешником забивает задачи. Помимо логов прикрепляю архив с текстовиком и содержимым "батов" в текстовом формате, я им просто добавил расширение, чтобы было понятно, кто раньше был "батом". Экзешник в блокноте даёт абракадабру, один из них закарантинил вручную, отсылаю карантин с пятью файлами - 4 после выполнения скрипта, один добавлен вручную, тот, что updX.exe. Вы его наверняка увидите в логах, у меня пол-диспетчера задач в них. Склоняюсь к необходимости мощнейшего антивируса всех времён и народов - форматирования низкого уровня.
Последний раз редактировалось Minoris; 13.06.2009 в 22:34.
Если ударят тебя по правой щеке - ответь сторицей!
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Minoris; 31.10.2009 в 03:33.
Если ударят тебя по правой щеке - ответь сторицей!
-
Проведите курс лечения от файловых вирусов, см. ссылку в подписи.
-
-
Junior Member
- Вес репутации
- 55
Ну, что-то задавил. Тем не менее, безобразия продолжаются. Логи прилагаю. Кстати, старые потёр, чтобы освободить место во вложениях.
Последний раз редактировалось Minoris; 31.10.2009 в 03:33.
Если ударят тебя по правой щеке - ответь сторицей!
-
Удалите АдАваре.
АВЗ/Сервис/ Диспетчер hosts - файла. Удалите ВСЕ строчки после строчки
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
Код:
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system32\lsass.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MsnHost] c:\FESTzT8.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MsnMessendger] c:\FESTzT8.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MsnHost] c:\FESTzT8.exe (User 'Default user')
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\sae.exe');
QuarantineFile('c:\sae.exe','');
QuarantineFile('c:\FESTzT8.exe','');
DeleteFile('c:\FESTzT8.exe');
DeleteFile('c:\sae.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
Спасибо, друзья, я бы с радостью помог бы собрать сведения о моей гадости, но утром мне будет необходим вменяемый комп. Закарантинивание файлов из корневого каталога мало что даёт, поскольку после пяти-шести запусков вирь генерит новый файл с новым именем. Главный файл вируса мне до сих пор неясен.
Спасибо большое всем, кто помогал, я рассказал вам всё, что мне удалось выяснить, возможно, это кому-то поможет в дальшейшем. Запускаю формат, и да погибнут все вирусы в страшных мучениях! Я думаю, так будет проще.
Добавлено через 2 часа 9 минут
Формат - всему голова. Тишь и гладь. Ещё раз благодарю!
Последний раз редактировалось Minoris; 14.06.2009 в 01:22.
Причина: Добавлено
Если ударят тебя по правой щеке - ответь сторицей!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\udpx.exe - not-a-virus:AdWare.Win32.CashOn.ea ( DrWEB: Trojan.Click.25991, BitDefender: Trojan.Generic.1851253 )
-