Подозрительное поведение системы
Первые признаки вируса заметил вчера: Dr Web сказал, что обнаружил вирус win32 и тут же удалил. Через пару часов поменялись какие-то настройки системы: окна приняли классический вид, уменшилась высота панели задач.
Сегодня уже время от времени пропадает звук. Кстати, происходит это не первый и даже не десятый раз.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-4326915173-5328091730-701612250-4373\sysdrv.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-4326915173-5328091730-701612250-4373\sysdrv.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-1073842477-9933200341-901357251-9747\wmfcgr.exe',''); QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll',''); DeleteFile('C:\RECYCLER\S-1-5-21-1073842477-9933200341-901357251-9747\wmfcgr.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Сделано, но в обратном порядке: сначала сделал новые логи, потом заархивировал карантин.
После выполнения скрипта комп не захотел перезагрузится, пришлось силу применять.
P.S запустил себя какой-то taskman.exe. Размер правильный: 15360bytes, но раньше его не было.
Добавлено через 6 минут
+jjdrive32.exe
Добавлено через 25 минут
Вручную удалил файлы 05, 06, 13 26 и т.т .exe из system32. Они DrWeb выбывали.
Добавлено через 1 час 24 минуты
А карантин получили? Если нет, дайте знать пожалуйста, закачаю заново. DrWeb уже почти мертв, из за вирусов не запускается. В папке system32 активно появляются подозрительные файлы, удалять не успеваю.
Последний раз редактировалось ika; 25.12.2009 в 00:44. Причина: Добавлено
Логи сделайте в нормальном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я уже создавал тему, не ответили, видимо я не все по правилам сделал (не знаю что именно).
В общем эти твари даже в безопасном режиме не дают жить. DrWeb нашел парачку из них а avz еще десятки. Помогите пожалуйста
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Логи в нормальном режиме (предидущие сделал в безопасном). Скрипт все равно выполнить?
Выполнил скрипт из файла ScanVuln.txt.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-2352713871-4628862173-007765781-0530\msdrive.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-2352713871-4628862173-007765781-0530\msdrive.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew3.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew3.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\117.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\BSzBT.exe',''); QuarantineFile('C:\WINDOWS\jjdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7792168467-2608524274-425606435-1185\wmfcgr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-7792168467-2608524274-425606435-1185\wmfcgr.exe'); DeleteFile('C:\WINDOWS\jjdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup'); DeleteFile('C:\WINDOWS\system32\drivers\BSzBT.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\117.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\190.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\266.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\293.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\297.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\304.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\363.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\468.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\701.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\836.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\921.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\EZSFKN8Z\vs8[1].exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Ставте заплатки после sp3.
Сделайте новые логи.
[*quoute*]
1) Пришлите карантин.
2) Ставте заплатки после sp3.
3) Сделайте новые логи.
[/*quoute*]
1) К сожалению DrWeb удалил карантин (его нет и в папке infected.!!! DrWeb-а).
2) Как это делается?
3) Я в процессе...
Добавлено через 2 минуты
P.S На этот раз при запуске системы появились taskman.exe и imapi.exe, раньше появлялись XY.exe, wfdmgr.exe, jjdrive.exe ...
Последний раз редактировалось ika; 26.12.2009 в 13:10. Причина: Добавлено
http://update.microsoft.com/2) Ставте заплатки после sp3.
Спасибо, обновление сделал. Вот новые логи.
Чисто.
Спасибо огромное! Очередной раз вы спасли меня от переустановки системы.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-1073842477-9933200341-901357251-9747\wmfcgr.exe - Net-Worm.Win32.Kolab.flq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: Trojan.Agent.Delf.RIE, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Delf-NCC [Drp] )
- c:\recycler\s-1-5-21-4326915173-5328091730-701612250-4373\sysdrv.exe - Net-Worm.Win32.Kolab.flq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: Trojan.Agent.Delf.RIE, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Delf-NCC [Drp] )
Уважаемый(ая) ika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
