-
Junior Member
- Вес репутации
- 54
Вирусы...помогите пожалуйста
Здравствуйте!
Суть проблемы заключается вот в чем
На диске C:/ и USB модеме G:/ начали появляться папки с разными "экзотическими" названиями =)
Антивирус аваст,видит файлы .exe в этих папках,удаляю, через некоторое время они снова появляются...
Залез в интернет, поискал про этот вирус, нашел.
Вот ссылка по которой описывается,как от него избавиться
http://dimcomp.mybb.ru/viewtopic.php?id=70#p108
пытался делать все,как там написанно,нашел rio8drv,riodrv.Но как только я их удаляю,они снова появляются. Отключал "востановление системы" - ничего не помагает. Так же чистил папки
C:\Documents and Settings\Admin\Local Settings\Temp
C:\Documents and Settings\Игорь\Local Settings\Temporary Internet Files
C:\System Volume Information\
Ничего не помогает, все заново появляется
Скачал программы с вашего сайта
прооверил
Извините,но я так и не понял какой из логов не надо загружать,так что влаживаю 4
Помогите пожалуйста,
С уважением
Эдуард
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
Я сделал скриншот, когда антивирус заметил атаку.
IP адрес атакуещего был 91.24.126.30:135
хотя вряд ли это кому-то поможет =))
Еще кроме этого есть 2 проблемы
В процессах появляется по 6 процессов svchosts
А так проблема со скрытыми папками
Захожу в свойства папки,ставлю нужные галочки,после "ОК" все сбрасывается...
-
Пожалуйста, не загружайте архив virusinfo_cure.zip. Нам нужен только virusinfo_syscure.zip.
Перед выполнением рекомендаций подключите модем к компьютеру.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
QuarantineFile('G:\vtauzy.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9482156377-9836603488-658227008-8233\mwau.exe','');
QuarantineFile('Aswbbsdtwi.sys','');
QuarantineFile('c:\windows\w7services.exe','');
QuarantineFile('C:\WINDOWS\sysmngsr322.exe','');
DeleteFile('C:\WINDOWS\sysmngsr322.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9482156377-9836603488-658227008-8233\mwau.exe');
DeleteFile('G:\vtauzy.exe');
DeleteFile('c:\windows\w7services.exe');
BC_ImportALL;
BC_QrSvc('Aswbbsdtwi');
BC_DeleteSvc('Aswbbsdtwi');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
Пришлите получившийся карантин в соответствии с правилами.
Пофиксите в HijackThis следующие строчки:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\sysmngsr322.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\sysmngsr322.exe
Повторите процедуру диагностики.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 54
Здравствуйте!
Я выполнил скрипт.
Профиксить все строки не удалось, так как
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\sysmngsr322.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\sysmngsr322.exe
отсутствуют.
Высылаю только что сделанные логи
P.S. ничего не изменилось, папки с .ехе файлами внутри C:/ и G:/ все так же создаются. Аваст их удаляет, но они снова восстанавливаются
Последний раз редактировалось Fruty; 15.05.2010 в 13:10.
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Отключил восстановление системы
Выслал карантин
Прикрепляю новые логи
Последний раз редактировалось Fruty; 15.05.2010 в 13:10.
-
-
-
Junior Member
- Вес репутации
- 54
Все было ок
Подключил свой телефон через USB и оказалось, что там тоже эти же вирусы
Я вроде как их почистил, высылаю новые логи, посмотрите пожалуйста
Вроде как начали блокироваться атаки, но после подключения телефона снова начали появляться папки с .ехе файлами
В карантине все тот же sysmgr.exe который я уже присылал
И еще одно,я не уверен было такое раньше или нет:
Открываю AVZ
Выбираю диски C:/ D:/ G:/ H:/
Файл - стандартные скрипты - Скрипт для сбора информации для раздела "Помогите"
Нажимаю выполнить скрипт и галочка с диска C:/ автоматически снимается
Последний раз редактировалось Fruty; 15.05.2010 в 13:10.
-
В логах зловредов не увидел.
-
-
Junior Member
- Вес репутации
- 54
странно...но вот только что появилось 2 папки и 3 атаки сблокированно
может что-то нужно сделать?
-
Сделайте лог гмер и MBAM.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-9482156377-9836603488-658227008-8233\mwau.exe - Trojan-Downloader.Win32.Pher.xw ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:SlenfBot-F [Wrm] )
- c:\windows\system32\sysmgr.exe - Trojan-Downloader.Win32.Pher.uz ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2361681, NOD32: Win32/TrojanProxy.Agent.NEL trojan, AVAST4: Win32:SlenfBot-F [Wrm] )
- c:\windows\w7services.exe - Net-Worm.Win32.Kolab.dvv ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:SlenfBot-F [Wrm] )
- g:\vtauzy.exe - Worm.Win32.AutoIt.qd ( DrWEB: Win32.HLLW.Siggen.73 )
-