Junior Member
Вес репутации
63
Подозрительное поведение системы
Первые признаки вируса заметил вчера: Dr Web сказал, что обнаружил вирус win32 и тут же удалил. Через пару часов поменялись какие-то настройки системы: окна приняли классический вид, уменшилась высота панели задач.
Сегодня уже время от времени пропадает звук. Кстати, происходит это не первый и даже не десятый раз.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4326915173-5328091730-701612250-4373\sysdrv.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4326915173-5328091730-701612250-4373\sysdrv.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-1073842477-9933200341-901357251-9747\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-1073842477-9933200341-901357251-9747\wmfcgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Junior Member
Вес репутации
63
Сделано, но в обратном порядке: сначала сделал новые логи, потом заархивировал карантин.
После выполнения скрипта комп не захотел перезагрузится, пришлось силу применять.
Junior Member
Вес репутации
63
P.S запустил себя какой-то taskman.exe. Размер правильный: 15360bytes, но раньше его не было.
Добавлено через 6 минут
+jjdrive32.exe
Добавлено через 25 минут
Вручную удалил файлы 05, 06, 13 26 и т.т .exe из system32. Они DrWeb выбывали.
Добавлено через 1 час 24 минуты
А карантин получили? Если нет, дайте знать пожалуйста, закачаю заново. DrWeb уже почти мертв, из за вирусов не запускается. В папке system32 активно появляются подозрительные файлы, удалять не успеваю.
Последний раз редактировалось ika; 25.12.2009 в 00:44 .
Причина: Добавлено
Логи сделайте в нормальном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
63
win32: jjdrive32.exe, ccdrive32.exe, ...
Я уже создавал тему, не ответили, видимо я не все по правилам сделал (не знаю что именно).
В общем эти твари даже в безопасном режиме не дают жить. DrWeb нашел парачку из них а avz еще десятки. Помогите пожалуйста
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log .
Junior Member
Вес репутации
63
Логи в нормальном режиме (предидущие сделал в безопасном). Скрипт все равно выполнить?
Junior Member
Вес репутации
63
Выполнил скрипт из файла ScanVuln.txt.
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-2352713871-4628862173-007765781-0530\msdrive.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2352713871-4628862173-007765781-0530\msdrive.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew3.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew3.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\117.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\BSzBT.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7792168467-2608524274-425606435-1185\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7792168467-2608524274-425606435-1185\wmfcgr.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
DeleteFile('C:\WINDOWS\system32\drivers\BSzBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\117.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\190.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\266.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\293.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\297.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\304.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\363.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\468.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\701.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\836.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\921.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\EZSFKN8Z\vs8[1].exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Ставте заплатки после sp3.
Сделайте новые логи.
Junior Member
Вес репутации
63
[*quoute*]
1) Пришлите карантин.
2) Ставте заплатки после sp3.
3) Сделайте новые логи.
[/*quoute*]
1) К сожалению DrWeb удалил карантин (его нет и в папке infected.!!! DrWeb-а).
2) Как это делается?
3) Я в процессе...
Добавлено через 2 минуты
P.S На этот раз при запуске системы появились taskman.exe и imapi.exe, раньше появлялись XY.exe, wfdmgr.exe, jjdrive.exe ...
Последний раз редактировалось ika; 26.12.2009 в 13:10 .
Причина: Добавлено
2) Ставте заплатки после sp3.
http://update.microsoft.com/
Junior Member
Вес репутации
63
Спасибо, обновление сделал. Вот новые логи.
Junior Member
Вес репутации
63
Спасибо огромное! Очередной раз вы спасли меня от переустановки системы.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-1073842477-9933200341-901357251-9747\wmfcgr.exe - Net-Worm.Win32.Kolab.flq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: Trojan.Agent.Delf.RIE, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Delf-NCC [Drp] ) c:\recycler\s-1-5-21-4326915173-5328091730-701612250-4373\sysdrv.exe - Net-Worm.Win32.Kolab.flq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: Trojan.Agent.Delf.RIE, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Delf-NCC [Drp] )