Показано с 1 по 13 из 13.

wnzip32.exe + что-то ещё (заявка № 61881)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2009
    Сообщений
    12
    Вес репутации
    27

    Thumbs up wnzip32.exe + что-то ещё

    Доброе время суток,

    Стоит WinXP SP3, антивирус avast!

    В процессе работы аваст начал ругаться на различные файлы вида ХХХ.ехе, где ХХХ - 3 случайные цифры.
    Проверил весь комп авастом в режиме "до загрузки Windows", проблема на несколько дней исчезла, но затем появилась опять.
    CureIt удалил все файлы ХХХ.ехе, но через какое-то время они стали появляться вновь.
    Внешнее проявление "активности" - слетают драйвера на встроенную в материнку звуковую карту (Realtek audio '97), плюс появился "несанкционированный" исходящий трафик.

    При проверке с помощью avz4 было выявлено два "зверя" - >>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe"
    >>> Подозрение на маскировку ключа реестра службы\драйвера "pilvmwbg"
    Процесс c:\windows\ccdrive32.exe Может работать с сетью (wininet.dll,urlmon.dll)

    в истреблении которых я и мой комп просим вас о помощи
    .

    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Пофиксить в Hijack следующие строки:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('c:\windows\ccdrive32.exe','');
     TerminateProcessByName('c:\windows\ccdrive32.exe');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\282.exe','');
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\282.exe');
      QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y6FMUSS6\2ua[1].zip','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\14ri[1].zip','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[2].zip','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[1].zip','');
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\B0I4F7DU\2ua[1].zip','');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\B0I4F7DU\2ua[1].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[1].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[2].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\14ri[1].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\14ri[2].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y6FMUSS6\2ua[1].zip');
     DeleteFile('c:\docume~1\admin\locals~1\temp\282.exe');
     DeleteFile('c:\windows\ccdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('C:\RECYCLER\S-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(11);
    Executerepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
    Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    23.09.2009
    Сообщений
    12
    Вес репутации
    27
    Прошу прощения за задержку, Gmer долго сканировал.

    Логи прикреплены, карантин закачан.
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится p1owkgu3.exe (gmer)
    Код:
    p1owkgu3.exe -del service pilvmwbg
    p1owkgu3.exe -del file "C:\WINDOWS\system32\jpjkjkx.dll"
    p1owkgu3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pilvmwbg"
    p1owkgu3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pilvmwbg"
    p1owkgu3.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится p1owkgu3.exe (gmer)
    Код:
    p1owkgu3.exe -del service  pilvmwbg 
    p1owkgu3.exe -del file "C:\WINDOWS\system32\jpjkjkx.dll"
    p1owkgu3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pilvmwbg"
    p1owkgu3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pilvmwbg"
    p1owkgu3.exe -reboot
    И запустите cleanup.bat.Компьютер перезагрузится. Сделать новый лог gmer

  7. #6
    Junior Member Репутация
    Регистрация
    23.09.2009
    Сообщений
    12
    Вес репутации
    27
    При выполнении бат-файла это не было найдено:
    "HKLM\SYSTEM\CurrentControlSet\Services\pilvmw bg"
    "C:\WINDOWS\system32\jpjkjkx.dll"

    Gmer работает, как закончит - прикреплю лог.

    Upd: только что аваст! ругнулся на эти файлы -
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\24[1].exe
    C:\WINDOWS\system32\65.scr

    картина с XX.scr мне знакома, боролись здесь -
    http://virusinfo.info/showthread.php?p=473602
    тогда вроде удалось победить... неужели опять?

    Upd2: добавлен новый лог Gmer
    Вложения Вложения
    • Тип файла: log gmer2.log (17.2 Кб, 3 просмотров)
    Последний раз редактировалось Simbaka; 01.12.2009 в 00:54. Причина: новые инфицированные файлы

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    23.09.2009
    Сообщений
    12
    Вес репутации
    27
    Логи приложены, проблем пока не возникало.

    Насколько я понимаю, в моём случае сообщение авз -
    >>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE" >> Подмена диспетчера задач
    нормально?
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от Simbaka Посмотреть сообщение
    >>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE" >> Подмена диспетчера задач
    нормально?
    Выполните скрипт
    Код:
    begin
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Выполните 2-й стандартный скрипт и прикрепите лог к новому сообщению

  11. #10
    Junior Member Репутация
    Регистрация
    23.09.2009
    Сообщений
    12
    Вес репутации
    27
    Вроде всё ровно, спасибо огромное.
    Вложения Вложения

  12. #11

  13. #12
    Junior Member Репутация
    Регистрация
    23.09.2009
    Сообщений
    12
    Вес репутации
    27
    Проблема решена, спасибо ещё раз.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,563
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\local settings\temporary internet files\content.ie5\b0i4f7du\2ua[1].zip - Backdoor.Win32.Cetorp.k ( DrWEB: Trojan.Spambot.4492, BitDefender: Backdoor.Generic.228350, AVAST4: Win32:Malware-gen )
      2. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\bmr5cm0c\14ri[1].zip - Trojan.Win32.Buzus.cpps ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2762226, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\y6fmuss6\2ua[1].zip - Backdoor.Win32.Cetorp.k ( DrWEB: Trojan.Spambot.4492, BitDefender: Backdoor.Generic.228350, AVAST4: Win32:Malware-gen )
      4. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\7ft1ywp2\14ri[1].zip - Trojan.Win32.Buzus.cpps ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2762226, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      5. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\7ft1ywp2\14ri[2].zip - Trojan.Win32.Buzus.cpps ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2762226, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      6. c:\docume~1\admin\locals~1\temp\282.exe - Trojan.Win32.Buzus.cqit ( DrWEB: Trojan.Spambot.6388, BitDefender: Trojan.Generic.2770362, AVAST4: Win32:Trojan-gen )
      7. c:\recycler\s-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe - P2P-Worm.Win32.Palevo.klr ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.102683, AVAST4: Win32:Malware-gen )
      8. c:\windows\ccdrive32.exe - Net-Worm.Win32.Kolab.ffa ( DrWEB: Trojan.Inject.3914 )


  • Уважаемый(ая) Simbaka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00273 seconds with 21 queries