-
Junior Member
- Вес репутации
- 52
Непонятные процессы
По видимости поймал вирус... а может и не один. Симптомы таковы:
1. В Диспетчере задач все время появляется процесс IEXPLORE.exe
2. В Диспетчере задач появляются процессы вида произвольный набор цифр.exe
3. При попытки открытия реестра выпадает сообщение "Редактирование реестра запрещено администратором системы"
4. В имени всех программ из автозагрузки добавлен проблем перед расширением, а оригинальные имена без пробелов даются файлам размером 28 кб.
5. Не запускается Касперский: файл avp.exe заменен все тем же файлом 28 кб.
6. Система зависала через пару минут после перезагрузки, отключение всех программ из автозагрузки решио эту проблему
7. CureIt! отказывается работать, Kaspersky Virus Removal Tool 2010 обнаружил несколько файлов, зараженных вирусами Trojan.Win32.VB.adwx, Trojan.Win32.FraudPack.apul, Packed.Win32.Krap.ao. Удаление этих файлов проблему не решило. Тот самый файл размером 28 кб Касперский не считает вирусом.
Заранее спасибо за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\internet explorer\wmpscfgs.exe');
TerminateProcessByName('c:\windows\temp\ctv160 .exe');
QuarantineFile('c:\windows\temp\ctv160 .exe','');
DeleteFile('c:\windows\temp\ctv160 .exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader');
QuarantineFile('C:\Documents and Settings\Серёжа\Application Data\Microsoft\jybummequo.exe','');
DeleteService('qayafyua8mak');
QuarantineFile('C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe','');
QuarantineFile('C:\Documents and Settings\Серёжа\Application Data\Microsoft\pomisoodej.exe','');
DeleteService('g72qo28l');
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
QuarantineFile('C:\Documents and Settings\Серёжа\csrss.exe,C:\Documents and Settings\Серёжа\Application Data\gkewzr.exe,explorer.exe','');
QuarantineFile('C:\Documents and Settings\Серёжа\csrss.exe','');
QuarantineFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\zrljtspd.sys','');
DeleteService('tioduokjlqkawb');
QuarantineFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\dbtzznlfcencyt.sys','');
DeleteService('pvnkeesafmtq');
QuarantineFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\lavihmgatoipq.sys','');
QuarantineFile('ioueotjycmnahgm.sys','');
DeleteService('ioueotjycmnahgm');
DeleteService('jrgznqodpuu');
QuarantineFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\xzqsoipwowlpsgg.sys','');
DeleteService('fwihofhyacmaklb');
QuarantineFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\sdspetsbffvk.sys','');
DeleteService('aqyricpqtuvmnj');
QuarantineFile('00000494.sys','');
DeleteFile('00000494.sys');
DeleteFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\sdspetsbffvk.sys');
DeleteFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\xzqsoipwowlpsgg.sys');
DeleteFile('ioueotjycmnahgm.sys');
DeleteFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\lavihmgatoipq.sys');
DeleteFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\dbtzznlfcencyt.sys');
DeleteFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\zrljtspd.sys');
DeleteFile('C:\Documents and Settings\Серёжа\csrss.exe');
DeleteFile('C:\Documents and Settings\Серёжа\csrss.exe,C:\Documents and Settings\Серёжа\Application Data\gkewzr.exe,explorer.exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
DeleteFile('C:\Documents and Settings\Серёжа\Application Data\Microsoft\pomisoodej.exe');
DeleteFile('C:\Documents and Settings\Серёжа\Application Data\Microsoft\jybummequo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал, обновить avz не удалось: получил сообщение "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c http://avz.virusinfo.info/avz_up [21, 00000002]"
Логи без обновления:
-
- скачайте отсюда архив с базами, разархивируйте их и замените папку Base на разархивированную
- Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 52
Спасибо за обновление. Сделал:
-
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: app_dll.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\app_dll.dll','');
DeleteFile('C:\WINDOWS\system32\app_dll.dll');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\mcyxcmvoonviz.sys','');
DeleteService('ioueotjycmnahgm');
QuarantineFile('000006D9.sys','');
DeleteFile('000006D9.sys');
DeleteFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\mcyxcmvoonviz.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
SetServiceStart('ioueotjycmnahgm', 4);
DeleteService('ioueotjycmnahgm');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
DeleteFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\mcyxcmvoonviz.sys');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\DOCUME~1\5A52~1\LOCALS~1\Temp\mcyxcmvoonviz.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\str.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Рабочий стол\rundll32.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Documents and Settings\LocalService\Рабочий стол\rundll32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
на этом все?
-
да
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 52
Всем огромное спасибо! Выручили
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 45
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\рабочий стол\rundll32.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\documents and settings\серёжа\csrss.exe - P2P-Worm.Win32.Palevo.aays ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Malware-gen )
- c:\docume~1\5a52~1\locals~1\temp\mcyxcmvoonviz.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
-