Уже месяца три мучаюсь, помогите, пжлст.
Уже знакомые всем вирусы Instmtv.exe, jjdrive32.exe и scdll.exe
Уже месяца три мучаюсь, помогите, пжлст.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте!
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\instmtv.exe'); SetServiceStart('pxkbf', 4); StopService('pxkbf'); QuarantineFile('C:\WINDOWS\system32\38.scr',''); QuarantineFile('C:\WINDOWS\system32\50.scr',''); QuarantineFile('C:\WINDOWS\system32\48.scr',''); QuarantineFile('C:\WINDOWS\system32\scdll.exe',''); QuarantineFile('C:\WINDOWS\jjdrive32.exe',''); QuarantineFile('C:\Program Files\setup.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys',''); QuarantineFile('c:\windows\system32\instmtv.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\pxkbf.sys'); DeleteFile('C:\Program Files\setup.exe'); DeleteFile('C:\WINDOWS\jjdrive32.exe'); DeleteFile('C:\WINDOWS\system32\Instmtv.exe'); DeleteFile('C:\WINDOWS\system32\scdll.exe'); DeleteFile('C:\WINDOWS\system32\48.scr'); DeleteFile('C:\WINDOWS\system32\50.scr'); DeleteFile('C:\WINDOWS\system32\38.scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','558'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','647'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','110'); DeleteService('pxkbf'); BC_ImportAll; ExecuteSysClean; BC_Activate; Executerepair(1); Executerepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Стыдно признаться, но у меня ума не хватает отключить восстановление системы.
Пока выполните скрипт и сделайте новые логи.
Карантин отправлен, новые логи сделаны, однако в процессе возникла проблема с клавиатурой: Windows не удалось запустить это устройство, поскольку информация о его конфигурации в реестре неполна или повреждена. (Код 19)
Удаление и переустановка драйвера ничего не дали, в реестр лезть опасаюсь. Что делать?
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\27.scr',''); QuarantineFile('C:\WINDOWS\system32\31.scr',''); QuarantineFile('C:\WINDOWS\system32\37.scr',''); QuarantineFile('C:\WINDOWS\system32\84.scr',''); QuarantineFile('C:\WINDOWS\system32\12.scr',''); QuarantineFile('c:\windows\system32\instmtv.exe',''); TerminateProcessByName('c:\windows\system32\instmtv.exe'); DeleteFile('c:\windows\system32\instmtv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\12.scr'); DeleteFile('C:\WINDOWS\system32\84.scr'); DeleteFile('C:\WINDOWS\system32\37.scr'); DeleteFile('C:\WINDOWS\system32\31.scr'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('PRT', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Карантин отправлен, логи сделаны. Параллельно диагностирую второй комп, где ситуация аналогична (только диагностирую, не вставляю никаких скриптов из этой темы). Логи со второго компа здесь же выложить или новую тему создать?
Новый компьютер - новая темаСообщение от shem_ar
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
попробую, хотя в прошлый раз у меня ума не хватило
Добавлено через 17 минут
Не, все-таки у меня ума не хватает комбофиксом воспользоваться
Полоса закачки прокручивается и все. С переименованной прогой та же фигня
Последний раз редактировалось shem_ar; 13.05.2010 в 00:42. Причина: Добавлено
Закачки чего?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
ммм, может быть, я неправильно выразилась? Мозг уже отказывается работать, воспользуюсь лексиконом блондинки:
Скачиваю комбофикс, сохраняю на рабочий стол, пытаюсь открыть - возникает зеленый прогрессбар, проходит до конца, исчезает и ничего больше не происходит. С переименованной прогой тоже самое.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог Малаваром сделан.
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084\hh[1].exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GI03WYXI\bn[1].jpg',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2\tkhowrof[1].exe',''); QuarantineFile('C:\WINDOWS\hosts',''); QuarantineFile('C:\WINDOWS\system32\hosts',''); QuarantineFile('C:\WINDOWS\system32\71.scr',''); QuarantineFile('C:\WINDOWS\system32\70.exe',''); QuarantineFile('C:\WINDOWS\system32\66.exe',''); QuarantineFile('C:\WINDOWS\system32\64.exe',''); QuarantineFile('C:\WINDOWS\system32\55.scr',''); QuarantineFile('C:\WINDOWS\system32\51.scr',''); QuarantineFile('C:\WINDOWS\system32\46.scr',''); QuarantineFile('C:\WINDOWS\system32\27.scr',''); QuarantineFile('C:\WINDOWS\system32\13.scr',''); QuarantineFile('C:\WINDOWS\system32\03.exe',''); QuarantineFile('C:\4x8q2y6t2e6.exe',''); QuarantineFile('C:\WINDOWS\system32\Instmtv.exe',''); QuarantineFile('C:\WINDOWS\system32\scdll.exe',''); end.
Удалите в МВАМ
Сделайте новые логи AVZ и МВАМКод:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\70 (Trojan.Dropper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\66 (Trojan.Dropper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\03 (Trojan.Dropper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.VirTool) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.VirTool) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\64 (Trojan.Dropper) -> No action taken. Зараженные папки: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\scdll.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\Instmtv.exe (Trojan.VirTool) -> No action taken. C:\4x8q2y6t2e6.exe (Trojan.VirTool) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2\tkhowrof[1].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GI03WYXI\bn[1].jpg (Trojan.VirTool) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084\hh[1].exe (Trojan.VirTool) -> No action taken. C:\WINDOWS\system32\03.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\13.scr (Trojan.VirTool) -> No action taken. C:\WINDOWS\system32\27.scr (Trojan.VirTool) -> No action taken. C:\WINDOWS\system32\46.scr (Trojan.VirTool) -> No action taken. C:\WINDOWS\system32\51.scr (Trojan.VirTool) -> No action taken. C:\WINDOWS\system32\55.scr (Trojan.VirTool) -> No action taken. C:\WINDOWS\system32\64.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\66.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\70.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\71.scr (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00001.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00002.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00003.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00006.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00007.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00008.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00009.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00010.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00011.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00012.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00013.dta (Trojan.VirTool) -> No action taken. D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00014.dta (Trojan.VirTool) -> No action taken. C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken. C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken. C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
немного не поняла, где в МВАМ код вставлять
Добавлено через 2 минуты
Карантин отправлен.
Последний раз редактировалось shem_ar; 13.05.2010 в 11:44. Причина: Добавлено
Вы по ссылке выше переходили? Там написано, как это выполнять
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
Сижу туплю, но никак не могу понять, при чем там код
Указанные в окне Код строки нужно удалить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Это - то, что надо удалять?
Ответ над Вашим сообщением
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) shem_ar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
