Junior Member
Вес репутации
59
Масс процессы и ухудшение работы инета.
Здравствуйте. Только установил win xp, ещё даже обновления не успел скачать, а тут уже полезло. Со временем количество процессов увеличивается до 200+, в основном с именами cmd.exe и services.exe а интернет начинает работать через раз, то есть давишь enter при вводе адреса в адресную строку, а сайт открывается не всегда. Подозрительный файл mslsrv в папке windows. CureIT нашёл вирусы, но лучше от этого не стало, после перезагрузки он опять их находит. Буду признателен за помощь.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\jbteq.dll','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\jbteq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
SetAVZPMStatus(True);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118 .
Сделайте новые логи.
Junior Member
Вес репутации
59
Готово. Вроде бы процессы в массовом порядке больше не появляются, да и интернет работает стабильно.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\msvddr32.exe');
DeleteFile('c:\windows\msvddr32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделаете лог virusinfo_syscheck
Junior Member
Вес репутации
59
Правда очень подозрителен процесс с именем msvddr32.exe и в корне системного диска появился файлик deep.exe Вирустотал грит 13 /41 вирус.
Junior Member
Вес репутации
59
Готово. Файл deep.exe так и остался на месте. Файл mslsrv32.exe тоже в папке windows лежит. msvddr32.exe не наблюдается.
Junior Member
Вес репутации
59
Выполните скрипт в avz
Код:
begin
DeleteFileMask('C:\WINDOWS\system32','??.scr', false);
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новый лог ComboFix
Junior Member
Вес репутации
59
Последний раз редактировалось bakuryu; 04.11.2009 в 19:50 .
Junior Member
Вес репутации
59
Сейчас опять масс процессы начались =( и всякие левые файлы типа mslsrv32.exe восстали из пепла.
С такой дырой в системе
Версия Windows: 5.1.2600, Service Pack 1
будете лечиться долго
Полный комплект логов + лог http://virusinfo.info/showpost.php?p=457118&postcount=1 сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
59
Ок, тогда сначала поставлю все обновления, а потом сделаю логи.
Junior Member
Вес репутации
59
Обновления поставил. Вот логи.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system\svhost.exe','');
TerminateProcessByName('c:\windows\system\svhost.exe');
QuarantineFile('c:\windows\system\svhost.exe','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\documents and settings\artix\restorer32_a.exe');
QuarantineFile('c:\documents and settings\artix\restorer32_a.exe','');
TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
QuarantineFile('c:\windows\system32\restorer32_a.exe','');
TerminateProcessByName('c:\windows\msmacro32.exe');
QuarantineFile('c:\windows\msmacro32.exe','');
TerminateProcessByName('c:\windows\mslsrv32.exe');
QuarantineFile('c:\windows\mslsrv32.exe','');
TerminateProcessByName('c:\windows\system\lsass.exe');
QuarantineFile('c:\windows\system\lsass.exe','');
TerminateProcessByName('c:\windows\system\dllcache.exe');
QuarantineFile('c:\windows\system\dllcache.exe','');
TerminateProcessByName('c:\docume~1\artix\locals~1\temp\00.exe');
QuarantineFile('c:\docume~1\artix\locals~1\temp\00.exe','');
DeleteFile('C:\WINDOWS\system\svhost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('c:\docume~1\artix\locals~1\temp\00.exe');
DeleteFile('c:\windows\system\dllcache.exe');
DeleteFile('c:\windows\system\lsass.exe');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('c:\windows\msmacro32.exe');
DeleteFile('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\documents and settings\artix\restorer32_a.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system\svhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новых 4 лога
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
59
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sysdrv32');
DeleteFile('C:\mwy.exe');
DeleteFile('C:\WINDOWS\msvddr32.exe');
DeleteFile('C:\Documents and Settings\ARTIx\oashdihasidhasuidhiasdhiashdiuasdhasd');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFileMask('C:\Documents and Settings\ARTIx\Local Settings\temp', '*.*', true);
DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\WINDOWS\system32','??.scr', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новые логи.
Junior Member
Вес репутации
59
Не видно ничего подозрительного. Проблема решена?
Junior Member
Вес репутации
59
Надеюсь да. Внешних признаков гадости не наблюдается. Спасибо.