-
Junior Member
- Вес репутации
- 56
Вирусы svchost.dll и FakeAlertM
Здравствуйте. Помогите справиться с автораном: после загрузки системы появляется сообщение от антивируса про удаление некоторых зловредов из папки Local Settings (FakeAlertM). При проверке CureIt в безопасном режиме было удалено несколько вирусов, но не все. (не все определяет, в отличии от avz).
Необходимые файлы в приложении:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\АДМИНИ~1.ARP\LOCALS~1\Temp\tmpF57E.tmp
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msxslt3.exe','');
QuarantineFile('C:\WINDOWS\mssrvc\svchost.exe','');
QuarantineFile('c:\documents and settings\Максим\syncman.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\tzddl.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1.ARP\LOCALS~1\Temp\tmpF57E.tmp','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1.ARP\LOCALS~1\Temp\tmpF57E.tmp');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\tzddl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cUcg0lmYLVAvoIMpxdDcP');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
DeleteFile('c:\documents and settings\Максим\syncman.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
DeleteFile('C:\WINDOWS\mssrvc\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Скрипты выполнил. При загрузке попутно выслушал странное урчание системного блока.
Файлы в приложении (Карантин загрузил) :
-
C:\WINDOWS\system32\Drivers\cdrom.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\WINDOWS\system32\msxslt3.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Извините, что не смог сразу ответить. Загвоздка в том, что не cохранился диск с виндой, и могу ли я заменить cdrom.sys другим из второго сервис пака XP?Если нет, точто в этом случае делать. Есть ещё одно подозрение на вирус: в папке Local Settings есть скрытый экзешник msx.exe, который по описанию подходит под главного подозреваемого во всех моих бедах (и не опознается avz и CureIt), его описание прочел здесь:
http://www.threatexpert.com/report.a...bf52c5ce4adecb
Надеюсь на вашу помощь.
-
Сообщение от
Arpad
могу ли я заменить cdrom.sys другим из второго сервис пака XP
Думаю, можете. Но только с системы с SP2
Сообщение от
Arpad
в папке Local Settings есть скрытый экзешник msx.exe
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
-
Это Trojan-Downloader.Win32.Banload.asha
Удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Вирус удалил, вместе с msxslt3.exe (исходя из вашего верхнего поста). Теперь вопрос вот в чем: в dllcache существует также cdrom.sys без опознавательных знаков (невозможно узнать производителя и т.п.). По-видимому, он тоже заражен и требует замены на новый. (у него размер одинаковый с зараженным из system32).
P.S.:Надеюсь, что мучения мои движутся к завершению
-
Сообщение от
Arpad
По-видимому, он тоже заражен и требует замены на новый. (у него размер одинаковый с зараженным из system32).
Пришлите и его по красной ссылке Прислать запрошенный карантин вверху темы, предварительно упаковав с паролем virus
Проверим.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Файл отправлен.
P.S.: Спасибо за Ваше терпение и понимание.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Удалил зараженные файлы. Из неприятного осталось только погрюкивание системного блока при загрузке (до начала загр. винды) и чуток заторможенная загрузка самой винды. Для полной уверенности прилагаю повторные логи:
-
Плохого не увидел. В чем заключается
Сообщение от
Arpad
погрюкивание системного блока при загрузке
?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
До загрузки самой винды из сист. блока доносится некоторое скрежетание, которое напоминает звук, когда проверяешь пустой флоппи-диск. Есть подозрение что это именно он и есть, т.к. в биосе по порядку загрузки идут cd-rom, потом Removable, а потом хард.
-
Сообщение от
Arpad
Removable, а потом хард
Так и есть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
После отключения флоппи в биосе назойливый звук пропал. Огромное спасибо Вам за помощь!!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \cdrom.sys - Trojan-Dropper.Win32.Agent.btcn ( DrWEB: Trojan.MulDrop1.6206, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.H virus, AVAST4: Win32:Cutwail-AG [Trj] )
- c:\windows\system32\drivers\cdrom.sys - Trojan-Dropper.Win32.Agent.btcn ( DrWEB: Trojan.MulDrop1.6206, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.H virus, AVAST4: Win32:Cutwail-AG [Trj] )
- c:\windows\system32\msxslt3.exe - Backdoor.Win32.Goolbot.bl ( DrWEB: Trojan.DownLoad.49872, BitDefender: Trojan.Agent.AOWG, AVAST4: Win32:MalOb-AL [Cryp] )
- \mxs.exe - Trojan-Downloader.Win32.Banload.asha ( DrWEB: Trojan.DownLoad1.44939, AVAST4: Win32:Malware-gen )
-