-
Junior Member
- Вес репутации
- 52
zjoididnhs9.sys (BackDoor.Siggen.7537)
Доброго времени суток!
Подхватил вирус zjoididnhs9.sys (BackDoor.Siggen.7537). Заметил это, когда перестал грузиться Nod32 и стал ругаться на повреждение ядра. После переустановки Nod32 ситуация не изменилась, зато компьютер стал загружаться только по F8 - > Загрузка последней удачной конфигурации. CureIt определяет данный вирус, но сделать с ним ничего не может. Предположительно вирус попал на компьютер через флэшку. Заранее благодарен за любую оказанную помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте. Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys','');
DeleteService('jwmhegxx');
QuarantineFile('C:\DATA\SYSTEM\Xp.exe','');
QuarantineFile('H:\DOCUME~1\Masha\LOCALS~1\Temp\srcmon.exe','');
QuarantineFile('H:\Documents and Settings\Masha\xeap.exe','');
DeleteService('ICF');
QuarantineFile('H:\WINDOWS\system32\svchost.exe:exe.exe','');
QuarantineFile('H:\WINDOWS\system32\qtwm.exe','');
TerminateProcessByName('H:\WINDOWS\system32\qtwm.exe');
QuarantineFile('H:\WINDOWS\system32\drivers\zjoididnhs9.sys','');
DeleteFile('H:\WINDOWS\system32\drivers\zjoididnhs9.sys');
DeleteFile('H:\WINDOWS\system32\qtwm.exe');
DeleteFile('H:\WINDOWS\system32\svchost.exe:exe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryWm');
DeleteFile('H:\DOCUME~1\Masha\LOCALS~1\Temp\srcmon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Resource Monitor');
DeleteFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys');
BC_ImportAll;
BC_DeleteSvc('ICF');
ExecuteSysClean;
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Проделал все вышеуказанные действия. Компьютер стал загружаться в нормальном режиме.
-
H:\Documents and Settings\Masha\xeap.exe--Вам знаком этот файл?
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\userinit.exe','');
QuarantineFile('H:\WINDOWS\system32\cscript.exe','');
QuarantineFile('H:\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('H:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('H:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('H:\WINDOWS\system32\cmd.exe','');
QuarantineFile('H:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('H:\WINDOWS\system32\userinit.exe','');
QuarantineFile('H:\Documents and Settings\Masha\xeap.exe','');
SetServiceStart('jwmhegxx', 4);
StopService('jwmhegxx');
QuarantineFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys','');
DeleteService('jwmhegxx');
DeleteFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Файл H:\Documents and Settings\Masha\xeap.exe мне не знаком. Выполнил все вышеуказанные действия.
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\Documents and Settings\Masha\xeap.exe','');
QuarantineFile('H:\WINDOWS\system32\Drivers\jwmhegxx.sys','');
DeleteService('jwmhegxx');
DeleteFile('H:\WINDOWS\system32\Drivers\jwmhegxx.sys');
DeleteFile('C:\DATA\SYSTEM\Xp.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VMWARE SERVICE');
DeleteFile('H:\Documents and Settings\Masha\xeap.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('H:\WINDOWS\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено файлов:
H:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZIO0CB02\ms1[2] (Backdoor.Bot) -> No action taken.
H:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
H:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> No action taken.
H:\Documents and Settings\Masha\secupdat.dat (Worm.Autorun) -> No action taken.
H:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
H:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 44
- В ходе лечения обнаружены вредоносные программы:
- h:\windows\system32\drivers\zjoididnhs9.sys - Rootkit.Win32.Tent.avl ( DrWEB: BackDoor.Siggen.7537, BitDefender: Trojan.Agent.AOKM, NOD32: Win32/Rootkit.Agent.NRU trojan, AVAST4: Win32:Agent-AHBJ [Rtk] )
- h:\windows\system32\qtwm.exe - Backdoor.Win32.Hupigon.jvur ( DrWEB: Trojan.Qtwm.4, BitDefender: Gen:Trojan.Heur.GZ.vy0@bWx88pmG, AVAST4: Win32:Malware-gen )
- h:\windows\userinit.exe - Worm.Win32.VB.aeg ( DrWEB: Win32.HLLW.Autoruner.7237, BitDefender: Win32.Worm.VB.NWW, AVAST4: Win32:Trojan-gen )
-