Junior Member
Вес репутации
53
Помогите починить svhost
Уважаемые специалисты , прошу вашей помоши ! Был x-connect , т.к. отключался инет , так же заражалать флешка, и постоянно была переадресация на сайты с вирусами , нод блокировал . Подручными средствами с помощью чужих логов пытался убрать x- connect , вроде получилось , но вылетает svhost и генерируется трояны.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3989695240-5666902623-283000490-9502\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3989695240-5666902623-283000490-9502\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
Junior Member
Вес репутации
53
Вот новые логи ! Опять заралило флешку autorunom
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
DeleteFile('F:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сделайте такой лог: http://virusinfo.info/showthread.php?t=53070
Junior Member
Вес репутации
53
Вот лог Malwarebytes Antimalware
Удалите при помощи МВАМ:
Код:
Заражено файлов:
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\9J91AOTI\nemexp[1].exe (Trojan.Dropper) -> No action taken.
C:\Temp\014.exe (Trojan.Dropper) -> No action taken.
C:\Temp\048.exe (Trojan.Dropper) -> No action taken.
Перезагрузите ПК
Удалите временные файлы: http://virusinfo.info/showthread.php?t=10025
Junior Member
Вес репутации
53
Удалить только 3 файла через МВАМ ? Остальное оставлять т.е. ключи Backdoor.Bot ?
Прошу прощения, ключи удаляем тоже
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Junior Member
Вес репутации
53
Проверил , При входе в инет и запуске iexplorera Нод засек угрозу с zonetech пытается скачать
Последний раз редактировалось ivanshark; 09.11.2009 в 00:02 .
Уберите ссылку!
Установите Service Pack 3 + все, что предложит WindowsUpdate
Junior Member
Вес репутации
53
Service pack 3 поставил. Вернулся а-connect , создал подключение и начал качать трояны с отключением инета . Вот новые логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\bsubt.exe');
DeleteFile('C:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сделайте новые логи
Junior Member
Вес репутации
53
Вложения
Junior Member
Вес репутации
53
Просмотрите логи плз. , осталось ли что-то у меня ?
Лог MBAM еще раз сделайте на всякий случай
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Вот лог MBAM . Глянте пожалуйста
Удалить в MBAM
Код:
Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Спасибо всем, вроде все нормально !!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-3989695240-5666902623-283000490-9502\wmfcgr.exe - P2P-Worm.Win32.Palevo.kbu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Patched.BI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Patched-JZ [Trj] )