-
Junior Member
- Вес репутации
- 52
вирусы Autoruner,Trojan.Downloader,Trojan.Packed.154 и др
Здравствуйте. Столкнулись с такой проблемой:
при выходе в интернет антивирус доктор веб стал кидать сообщения о том что нашел вирусы:
в папке \Temporary Internet Files\Content.IE5\YJE70V4Z\9[1]
(Название папки YJE70V4Z меняется) с вирусом Trojan.Packed.154
в папке \LocalSettings\temp\tmp003.exe находит тот же вирус
в папке \System32\Wmicvrts.exe находит вирус Win32.HLLW.Autoruner.17477
в папке \System32\CtDrvDmt.exe находит вирус Backdoor.Irc.Bot.283
выскакивают сообщения об ошибках в программах
CtDrvMkb.exe и других
при загрузке виндовс пишет что не может найти файл csrcs.exe
При запуске программы norton commander она через несколько секунд вылетает
Запустив проверку Доктор вебом доходит до определенного момента и зависает
Пробовали провести проверку avptools через безопасный режим (который пришлось восстанавливать и восстановился только с помощью программы SUPERAntiSpyware (восстановление реестра не помогало))
проверку выполнели вирусы удалились, но потом при входе в интернет (модемом скайлинк) началось все тоже самое.
Теперь безопасный режим уже разблокировать не удается.
(Проверка через Live CD касперского(база правда не обновленная) ничего не дала)
Программу AVZ удалось запустить только после ее переименования(логи прикреплены)
Программу HijackThis* удалось установить также только после переименования, однако когда ее запустили появилось сообщение о том что система завершает работу и отсчет секунд до завершения(компьютер выключился) поэтому лог от нее получить не удается.
Зайти на данный форум не получается с зараженного компьютера, поэтому логи пришлось отправлять через почту на другой компьютер и с него уже сюда.
Заранее спасибо за помощь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
TerminateProcessByName('c:\windows\system32\ctdrvmkb.exe');
QuarantineFile('C:\System Volume Information\_restore{C2052A56-72F5-42FC-AB0E-B9997A0E3343}\RP380\A0063231.msi','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\incognito.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\AdobeR.exe','');
QuarantineFile('C:\Documents and Settings\В Решетников\mmryx.exe','');
QuarantineFile('c:\windows\system32\wmicvrts.exe','');
QuarantineFile('c:\windows\system32\ctdrvmkb.exe','');
DeleteFile('c:\windows\system32\ctdrvmkb.exe');
DeleteFile('c:\windows\system32\wmicvrts.exe');
DeleteFile('C:\Documents and Settings\В Решетников\mmryx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\incognito.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','incognito');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\System Volume Information\_restore{C2052A56-72F5-42FC-AB0E-B9997A0E3343}\RP380\A0063231.msi');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
BC_DeleteFile('c:\windows\system32\ctdrvmkb.exe');
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как100413_184907_quarantine_4bc484635104f.zipРазмер файла8166360MD5e280d0244f61780504020f8453e53fb5
Во время проверки hijackthis несколько раз вылетал и вылезала ошибка DrvSvcMgr.exe,
также выдал сообщение:
You have an particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item(and create a backup)
If you see the same IP address in all the reported O1 items, consider deleting your Hosts file which is located at
C:\windows\System32\drivers\etc\hosts
(при создании логов (когда требуется вход в интернет) все программы кроме easywirelessnet(т.к. с помощью нее интеренет работает скайлинк) и интернет эксплорер были закрыты))
а может быть заражен сам модем скайлинк?
Последний раз редактировалось Viande; 13.04.2010 в 19:06.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\AdobeR.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Documents and Settings\В Решетников\iaupnhy.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ailvlhns.sys','');
TerminateProcessByName('c:\windows\system32\qxzv2.exe');
QuarantineFile('c:\windows\system32\qxzv2.exe','');
DeleteFile('c:\windows\system32\qxzv2.exe');
DeleteFile('C:\Documents and Settings\В Решетников\iaupnhy.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connec-tion Wizard Setup Tool');
DeleteFile('C:\WINDOWS\AdobeR.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RavAV');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Поставил обновленный AVZ(обновлял с другого компьютера)
HijackThis снова вылетала, после перестановки выдала лог и компьютер сновы выдал сообщение что система завершает работу.
карантин отправил
Файл сохранён как 100414_104758_virus_4bc5651e7f475.zip
Размер файла 2948
MD5 28a722361bbd769dcbfe9022c8f4d1ee
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ailvlhns.sys','');
QuarantineFile('c:\windows\system32\drvsvcmgd.exe','');
TerminateProcessByName('c:\windows\system32\drvsvcmgd.exe');
DeleteFile('c:\windows\system32\drvsvcmgd.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(9);
Executerepair(13);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как100414_115552_virus_4bc57508a63fe.zipРазмер файла2390082MD5826bc53dff0a9c863ba5ca42d48d99bd
вот)
и еще сейчас выдало Generic Host Process for Win32 Services обнаружена ошибка, приложение будет закрыто.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(1);
Executerepair(7);
Executerepair(9);
RebootWindows(true);
end.
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S9AZG9QR\qv2[1].zip ','');
QuarantineFile('C:\System Volume Information\_restore{C2052A56-72F5-42FC-AB0E-B9997A0E3343}\RP403\A0068911.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisvvan.sys','');
QuarantineFile('C:\WINDOWS\system32\secupdat.dat','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S9AZG9QR\qv2[1].zip ');
DeleteFile('C:\System Volume Information\_restore{C2052A56-72F5-42FC-AB0E-B9997A0E3343}\RP403\A0068911.exe');
DeleteFile('C:\WINDOWS\system32\secupdat.dat');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
Зараженные файлы:
D:\ПРОГР_воров\Фунд 11,3\Lav_BaseSoft_keygen.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\T¦+++T~1\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Администратор\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\В Решетников\secupdat.dat (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\secupdat.dat (Worm.Autorun) -> No action taken.
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как100414_170350_quarantine_4bc5bd366e166.zipРазмер файла2531MD5ea7b18b24c6c7f46162a5b49d2c58dca
сделано)
-
Удалите в MBAM
Код:
Зараженные файлы:
C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\T¦+++T~1\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Администратор\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Documents and Settings\В Решетников\secupdat.dat (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\secupdat.dat (Worm.Autorun) -> No action taken.
Сделайте новый лог MBAM
-
-
Junior Member
- Вес репутации
- 52
При нажатии удалить, программа пишет что некоторые файлы удалить невозможно и треуется перезагрузка.
-
Скачайте "OSAM" (Online Solutions Autorun Manager).
Лог работы утилиты прикрепите к своему сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
лог html поэтому добавил в архив
-
Запустите OSAM
В меню драйверов правой кнопкой по ailvlhns и выберите "Turn Run Off". Перезагрузку подтвердите.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ailvlhns.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ailvlhns.sys');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\В Решетников\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\Администратор\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\T¦+++T~1\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\NetworkService\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\LocalService\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\Default User\secupdat.dat','');
QuarantineFile('C:\Documents and Settings\All Users\secupdat.dat','');
QuarantineFile('C:\WINDOWS\system32\secupdat.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisvvan.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisvvan.sys');
DeleteFile('C:\WINDOWS\system32\secupdat.dat');
DeleteFile('C:\Documents and Settings\All Users\secupdat.dat');
DeleteFile('C:\Documents and Settings\Default User\secupdat.dat');
DeleteFile('C:\Documents and Settings\LocalService\secupdat.dat');
DeleteFile('C:\Documents and Settings\NetworkService\secupdat.dat');
DeleteFile('C:\Documents and Settings\T¦+++T~1\secupdat.dat');
DeleteFile('C:\Documents and Settings\Администратор\secupdat.dat');
DeleteFile('C:\Documents and Settings\В Решетников\secupdat.dat');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\secupdat.dat');
DeleteService('ailvlhns');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ailvlhns');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как100415_122749_virus_4bc6ce059f0c8.zipРазмер файла24630MD59b28d99a56e30240cee1fb7d80d28a79
сделано)
-
Что сейчас с проблемой?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\02.scr','');
DeleteFile('C:\WINDOWS\system32\02.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как100415_134357_virus_4bc6dfddc63e0.zipРазмер файла55314MD5f2c475dcc2e0d3f003f4ba6e431c1702
Все вроде работает!! правда при перезагрузке после выполнения скрипта выдало ошибку в каком то exe файле и перезагрузилось.
спасибо огромное!
-
В логах чисто.
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3.
-