Показано с 1 по 7 из 7.

zjoididnhs9.sys (BackDoor.Siggen.7537) (заявка № 72385)

  1. #1
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    3
    Вес репутации
    52

    Exclamation zjoididnhs9.sys (BackDoor.Siggen.7537)

    Доброго времени суток!
    Подхватил вирус zjoididnhs9.sys (BackDoor.Siggen.7537). Заметил это, когда перестал грузиться Nod32 и стал ругаться на повреждение ядра. После переустановки Nod32 ситуация не изменилась, зато компьютер стал загружаться только по F8 - > Загрузка последней удачной конфигурации. CureIt определяет данный вирус, но сделать с ним ничего не может. Предположительно вирус попал на компьютер через флэшку. Заранее благодарен за любую оказанную помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Здравствуйте. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys','');
     DeleteService('jwmhegxx');
     QuarantineFile('C:\DATA\SYSTEM\Xp.exe','');
     QuarantineFile('H:\DOCUME~1\Masha\LOCALS~1\Temp\srcmon.exe','');
     QuarantineFile('H:\Documents and Settings\Masha\xeap.exe','');
     DeleteService('ICF');
     QuarantineFile('H:\WINDOWS\system32\svchost.exe:exe.exe','');
     QuarantineFile('H:\WINDOWS\system32\qtwm.exe','');
     TerminateProcessByName('H:\WINDOWS\system32\qtwm.exe');
     QuarantineFile('H:\WINDOWS\system32\drivers\zjoididnhs9.sys','');
     DeleteFile('H:\WINDOWS\system32\drivers\zjoididnhs9.sys');
     DeleteFile('H:\WINDOWS\system32\qtwm.exe');
     DeleteFile('H:\WINDOWS\system32\svchost.exe:exe.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryWm');
      DeleteFile('H:\DOCUME~1\Masha\LOCALS~1\Temp\srcmon.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Resource Monitor');
     DeleteFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys');
    BC_ImportAll;
    BC_DeleteSvc('ICF');
    ExecuteSysClean;
    Executerepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    3
    Вес репутации
    52
    Проделал все вышеуказанные действия. Компьютер стал загружаться в нормальном режиме.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    H:\Documents and Settings\Masha\xeap.exe--Вам знаком этот файл?
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\WINDOWS\userinit.exe','');
     QuarantineFile('H:\WINDOWS\system32\cscript.exe','');
     QuarantineFile('H:\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('H:\WINDOWS\system32\wuauclt.exe','');
     QuarantineFile('H:\WINDOWS\system32\ntkrnlpa.exe','');
     QuarantineFile('H:\WINDOWS\system32\cmd.exe','');
     QuarantineFile('H:\WINDOWS\system32\sfcfiles.dll','');
     QuarantineFile('H:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('H:\Documents and Settings\Masha\xeap.exe','');
     SetServiceStart('jwmhegxx', 4);
     StopService('jwmhegxx');
     QuarantineFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys','');
     DeleteService('jwmhegxx');
     DeleteFile('H:\WINDOWS\System32\Drivers\jwmhegxx.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    3
    Вес репутации
    52
    Файл H:\Documents and Settings\Masha\xeap.exe мне не знаком. Выполнил все вышеуказанные действия.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\Documents and Settings\Masha\xeap.exe','');
     QuarantineFile('H:\WINDOWS\system32\Drivers\jwmhegxx.sys','');
     DeleteService('jwmhegxx');
     DeleteFile('H:\WINDOWS\system32\Drivers\jwmhegxx.sys');
     DeleteFile('C:\DATA\SYSTEM\Xp.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VMWARE SERVICE');
     DeleteFile('H:\Documents and Settings\Masha\xeap.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
     DeleteFile('H:\WINDOWS\userinit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Затем удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Заражено значений реестра:
    (Вредоносные программы не обнаружены)
    
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Заражено файлов:
    H:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZIO0CB02\ms1[2] (Backdoor.Bot) -> No action taken.
    H:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
    H:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> No action taken.
    H:\Documents and Settings\Masha\secupdat.dat (Worm.Autorun) -> No action taken.
    H:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
    H:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 44
    • В ходе лечения обнаружены вредоносные программы:
      1. h:\windows\system32\drivers\zjoididnhs9.sys - Rootkit.Win32.Tent.avl ( DrWEB: BackDoor.Siggen.7537, BitDefender: Trojan.Agent.AOKM, NOD32: Win32/Rootkit.Agent.NRU trojan, AVAST4: Win32:Agent-AHBJ [Rtk] )
      2. h:\windows\system32\qtwm.exe - Backdoor.Win32.Hupigon.jvur ( DrWEB: Trojan.Qtwm.4, BitDefender: Gen:Trojan.Heur.GZ.vy0@bWx88pmG, AVAST4: Win32:Malware-gen )
      3. h:\windows\userinit.exe - Worm.Win32.VB.aeg ( DrWEB: Win32.HLLW.Autoruner.7237, BitDefender: Win32.Worm.VB.NWW, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) Right-Demian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Siggen.46239
      От fops2 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 04.07.2012, 11:31
    2. Backdoor.Siggen.46239
      От Александр Похабов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.06.2012, 10:52
    3. Руткит BackDoor.Siggen
      От rublanin в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 15.09.2011, 22:00
    4. BackDoor.Siggen.25905 и так деалее
      От nip в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.10.2010, 10:06
    5. BackDoor.Siggen.26397
      От Inngrid в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.09.2010, 23:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01128 seconds with 17 queries