-
Junior Member
- Вес репутации
- 53
Вирус блокирует соединение с интернетом
При работе в интернете прерывается соединение.
В процессах подозрительно наличие jjdrive32.exe, в автозапуске не удаляется гадость засевшая в корзине - заканчивается на wmfcgr.exe
Периодически вырубается брэндмауэр Винды, в папке темп появляются файлы вида 768.exe 123.exe и подобные.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3986526334-2115479858-158528201-0938\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3986526334-2115479858-158528201-0938\wmfcgr.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за оперативность. Все сделал.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe ,c:\windows\system32\winupdate.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winupdate.exe','');
DeleteFile('c:\windows\system32\winupdate.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Все exe-файлы с цифровым началом вручную поискать на компьютере и уничтожить
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выполнил вышеуказанное, avz в процессе проверки ничего подозрительного не нашел, файлов 123.exe по поиску "???.exe" я не нашел, уже собрался отправлять на сайт, но тут срочно пришлось оставить комп и отойти где то на час. Комп был подключен к интернету. Прихожу и вижу отключенный брэндмауэр винды, глянул процессы - опять jjdrive32.exe и эта хрень из корзины wmfcgr.exe которую мы удалили ранее. снова сделал шаги 1 и 2 правил только в обратно
-
Junior Member
- Вес репутации
- 53
й последовательности (сначала 2 потом 1), затем сделал лог hijacka. кстати также после этого сделал поиск по "???.exe" и нашел 10 таких файлов в C:\Documents and Settings\user\Local Settings\Temp и еще 1 в темпорари инет файлс. следует отметить что и раньше проблемы при работе в сети появлялись не сразу а спустя 10-15 минут после подключения.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\8PCTAF4T\vs8[1].exe','');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\844.exe','');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\336.exe','');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\205.exe','');
DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7065863857-9965847214-277404358-6648\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\tbhelper.dll','');
QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('c:\windows\jjdrive32.exe','');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\tbhelper.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7065863857-9965847214-277404358-6648\wmfcgr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\205.exe');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\336.exe');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\844.exe');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\8PCTAF4T\vs8[1].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Program Files\IEToolbar404', '*.*', true);
DeleteDirectory('C:\Program Files\IEToolbar404');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Как можно быстрее выполните обновление
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сделал, обновления выполнил, только не знаю как там на счет новых заплаток.
-
-
-
Junior Member
- Вес репутации
- 53
вроде бы все работает
Спасибо!!!
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\local settings\temporary internet files\content.ie5\8pctaf4t\vs8[1].exe - Trojan.Win32.Buzus.csxy ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] )
- c:\documents and settings\user\local settings\temp\205.exe - Trojan.Win32.Buzus.csxy ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] )
- c:\documents and settings\user\local settings\temp\336.exe - Trojan.Win32.Buzus.csxy ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] )
- c:\documents and settings\user\local settings\temp\844.exe - Trojan.Win32.Buzus.csxy ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] )
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - P2P-Worm.Win32.Palevo.myq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: IRC-Worm.Generic.8819, AVAST4: Win32:Delf-NCC [Drp] )
- c:\recycler\s-1-5-21-7065863857-9965847214-277404358-6648\wmfcgr.exe - P2P-Worm.Win32.Palevo.myq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: Trojan.Agent.Delf.RIE, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Delf-NCC [Drp] )
- c:\windows\jjdrive32.exe - P2P-Worm.Win32.Palevo.myq ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: Trojan.Agent.Delf.RIE, NOD32: IRC/SdBot trojan, AVAST4: Win32:Delf-NCC [Drp] )
- f:\autorun.inf - Trojan.Win32.AutoRun.to ( NOD32: INF/Autorun virus )
-