-
Junior Member
- Вес репутации
- 53
Вирус nissan.exe
Добрый день!
При загрузке компьютера и при подключении к интернету появляется фаерфокс и ещё какие-то процессы. На флэшках создаются файл autorun.inf и и другие файлы. В диспетчере висит процесс nissan.exe. Перестал перезагружаться компьютер - только кнопкой.
Чистил и каспером и вэбом - оба нашли по парочке вирусов.
Заранее спасибо.
Последний раз редактировалось pomasannik1; 23.12.2009 в 00:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7147979724-0406718650-614793610-0697\nissan.exe','');
QuarantineFile('C:\Documents and Settings\ОЛЕГ\ОЛЕГ.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7147979724-0406718650-614793610-0697\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
файл карантина загрузил.
при выполнении логов выскакивало сообщение, что програмки, выполняющие проверку повреждены, причём все 3.
перезагрузка снова не выполняется.
Последний раз редактировалось pomasannik1; 23.12.2009 в 00:27.
-
Junior Member
- Вес репутации
- 53
убрал gmer с диска С и сообщение об ошибке больше не выскакивает/
Добавлено через 45 минут
после принудительной перегрузки выводит сообщение: RCINT failure. String table ID not found. 42 at line 41.
пару раз нажимаю эскейт и загружается с правами пользователя.
Добавлено через 49 минут
Добавлено через 1 час 13 минут
уже не работает диспетчер и не включается перезагрузка.
Последний раз редактировалось pomasannik1; 22.12.2009 в 20:36.
Причина: Добавлено
-
Просканируйте ПК Куреитом (др.Веб), затем AVPTool. После сканирования сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
спасибо!
проверил обеими антивирусами и был обнаружен всего один вирус.
в awz обнаружена подмена диспетчера задач и подозрение на троян в файле ntshrui.dll
комп перегружается только кнопкой, диспетчер задач невозможно вызвать.
с помощью диспетчера awz обнаружил два подозрительных(для меня) процесса - winlogon.exe и logonui.exe
сделал новые логи.
Последний раз редактировалось pomasannik1; 25.12.2009 в 22:08.
-
Junior Member
- Вес репутации
- 53
после принудительной перегрузки продолжает выводить сообщение: RCINT failure. String table ID not found. 42 at line 41
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ayt69onr.SYS','');
QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
QuarantineFile('c:\windows\system32\logonui.exe','');
QuarantineFile('C:\WINDOWS\SystemRoot\C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\Documents and Settings\ОЛЕГ\ОЛЕГ.exe','');
BC_ImportAll;
Executerepair(6);
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteSysClean;
BC_Activate;
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
-
-
+ к shapel
Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8d7vtp3.exe (gmer)
Код:
l8d7vtp3.exe -del service hsdhbuk
l8d7vtp3.exe -del service vfxiww
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\vfxiww"
l8d7vtp3.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
shapel, карантин загружен.
-
Карантин чистый, сделайте контрольный лог Gmer.
-
-
Junior Member
- Вес репутации
- 53
создал cleanup.bat и компьютер перегрузился.
сделал лог gmer.
при сканировании и awz, и gmer выскакивает сообщение, что экзешный файл выполняемой программы повреждён - мол, выполните проверку скандиском для исправления.
при перезагрузке осталась ошибка RCINT failure. String table ID not found. 42 at line 41.
спасибо Вам!
-
-
-
Junior Member
- Вес репутации
- 53
извините, был превышен лимит мегабайт на загрузку, удалил ненужные и залил.
Последний раз редактировалось pomasannik1; 25.12.2009 в 22:08.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
лог gmer в безопасном сделал, но сохранить не смог - не хватает экрана и не видна кнопка сейва))) разрешение не меняется и прога не растягивается(((
с nissan.exe мы разобрались и диспетчер появился, спасибо.
но комп не перезагружается, уже и не помагает cleanup.bat. и ошибка при загрузке осталась - RCINT failure. String table ID not found. 42 at line 41.
ещё будут предложения?
в чём ещё может быть проблема?
Добавлено через 2 часа 53 минуты
диспетчер снова не работает...
Последний раз редактировалось pomasannik1; 23.12.2009 в 04:59.
Причина: Добавлено
-
Сделайте комплект логов, + лог MBAM.
-
-
Junior Member
- Вес репутации
- 53
спасибо Вам за терпение!
провёл полную проверку каспером и вэбом с максимальными настройками - обнаружено около 130 зловредов, причём почти все с одним именем(вирус Virus.Win32.Neshta.а), но в разных папках и файлах.
сделал новые логи.
MBAM обнаружил больше 20 заражений, из них Worm.Autorun самый распостранённый.
с нетерпением жду ответа
Последний раз редактировалось pomasannik1; 25.12.2009 в 22:08.
-
Junior Member
- Вес репутации
- 53
кстати, есть ли скрипт для avz на перезагрузку компа?...а то от принудительных перезагрузок кнопкой появляются ошибки о повреждённых файлах.
-
Удалите в MBAM следующее:
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\firstinstallflag (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
C:\RECYCLER\S-1-5-21-4994939827-8660285897-319514478-2373\nissan.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\internet.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\ОЛЕГ\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
Сделайте контрольный лог MBAM.
-