Зараженный svchost.exe, появление вирусов в Recycler и прочая, прочая
День добрый! Решил обратиться на ваш форум, ибо надежды у меня более нету..
Некоторое время компьютер был без антивируса; видимо, тогда и заразился. После повторной установки KIS помочь уже ничем не смог, т.к. вирус встроился в систему крепко.
В чем выражается действие вируса - постоянное пропадание звука, перебои с интернетом, появление различных зараженных exe-файлов в системных папках и в автозапуске, появление на всех дисках в папках Recycler и System Volume Information троянов.
Нашел соответствие с темой http://virusinfo.info/showthread.php?t=59193 , а также http://virusinfo.info/showthread.php...light=usb_magr (в одно время присутствовал usb_magr.exe)
Очень надеюсь на помощь, потому что сил и идей для борьбы с вирусом больше нет.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Заметил ещё, что на диске С (а системный у меня - Е) вирус насоздавал липовых файлов для бута:
ntldr
AUTOEXEC.BAT
Bootfont.bin
NTDETECT.COM
boot.ini
CONFIG.SYS
IO.SYS
MSDOS.SYS
Последний раз редактировалось Rene-gad; 05.11.2009 в 19:45.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Сообщение от Morpheus
Заметил ещё, что на диске С вирус насоздавал липовых файлов для бута:
Это не вирус создал. Загляните в файл boot.ini
Последний раз редактировалось Rene-gad; 05.11.2009 в 19:46.
Причина: Добавлено
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temp\683.exe','');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\683.exe');
DeleteFileMask('E:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Заражено процессов в памяти:
E:\WINDOWS\jcdrive32.exe (Trojan.Ranky) -> No action taken.
E:\WINDOWS\system32\umdmgr.exe (Worm.AutoRun) -> No action taken.
E:\WINDOWS\system32\wshost32.exe (Trojan.Dropper) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wshost32 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.Ranky) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.Ranky) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rade3135.tmp (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-24sf-n85p (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rad23361.tmp (Worm.AutoRun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Заражено файлов:
E:\WINDOWS\system32\wshost32.exe (Trojan.FakeAlert.H) -> No action taken.
E:\WINDOWS\jcdrive32.exe (Trojan.Ranky) -> No action taken.
E:\WINDOWS\system32\umdmgr.exe (Worm.AutoRun) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temp\168.exe (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temp\470.exe (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temp\495.exe (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SQJL75B7\nemexp[1].exe (Trojan.Dropper) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SQJL75B7\um.1[1].exe (Worm.AutoRun) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UPV5PWT8\vs8[1].exe (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UPV5PWT8\pr3xy[1].exe (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UPV5PWT8\expallmain[1].exe (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00001.dta (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00002.dta (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00003.dta (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00004.dta (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00005.dta (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00001.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00002.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00004.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00005.dta (Trojan.Dropper) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00006.dta (Worm.AutoRun) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00007.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00008.dta (Backdoor.Bot) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temp\917.exe','');
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M47SH1SG\vs8[1].exe','');
QuarantineFile('E:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('E:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('E:\WINDOWS\system32\msdrvinf.exe','');
QuarantineFile('E:\RECYCLER\S-1-5-21-3611606246-7470724678-925835543-6614\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('E:\RECYCLER\S-1-5-21-3611606246-7470724678-925835543-6614\wmfcgr.exe');
DeleteFile('E:\WINDOWS\system32\msdrvinf.exe');
DeleteFile('E:\WINDOWS\system32\umdmgr.exe');
DeleteFile('E:\WINDOWS\system32\wshost32.exe');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M47SH1SG\vs8[1].exe');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\917.exe');
DeleteFileMask('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('E:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad72E1E.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad2ED02.tmp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Нет.. При выполнении диагностических скриптов заметно, как меняется тема виндовса. Да и в логах видно перехваченные службы.
Не могу найти где, но видел на форуме скрипты с удалением ключей к svchost из реестра - вирус же прилепился к нему..
Может быть, попробовать нечто подобное?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: