Показано с 1 по 19 из 19.

вирус в папке System Volume Information\Whistler (заявка № 78761)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24

    Thumbs down вирус в папке System Volume Information\Whistler

    Добрый день. После удаления файлов из папки C:\System Volume Information\Whistler\ svchost.exe и smss.exe они восстанавливаются. При установке KIS7 при загрузке Windows BSOD с кодом ошибки 0x0000000A, загружается в безопасном режиме нормально и в обычном режиме тоже иногда загружается, в частности после установки проверки диска С на ошибки. После нормальной загрузки Касперский находит файлы вируса, предлагает специальную поцедуру лечения, требующую перезагрузку. После этого все повторяется. После деинсталляции Касперского BSODы исчезли.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Лог Gmer
    Вложения Вложения
    • Тип файла: log gmer.log (122.9 Кб, 5 просмотров)

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Сохраните текст ниже как 1.bat в ту же папку, где находится t0w2s7pp.exe (GMER) и запустите этот батник(1.bat):
    Код:
    t0w2s7pp.exe -del service lvmxigf  
    t0w2s7pp.exe -del file "C:\WINDOWS\system32\zsxlyfga.dll"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lvmxigf"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\lvmxigf"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvmxigf"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lvmxigf"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lvmxigf"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\lvmxigf"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\lvmxigf\Parameters"
    t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\lvmxigf"
    t0w2s7pp.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip
    - Сделайте новый лог Gmer

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    при выполнении скрипта ругнулось на отсутствие файла и некоторых веток реестра. Вот логи
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
     TerminateProcessByName('c:\system volume information\whistler\smss.exe');
     QuarantineFile('c:\system volume information\whistler\smss.exe','');
     QuarantineFile('c:\system volume information\whistler\svchost.exe','');
     DeleteFile('c:\system volume information\whistler\smss.exe');
     DeleteFile('c:\system volume information\whistler\svchost.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Логи
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\system volume information\whistler\smss.exe');
     DeleteFile('c:\system volume information\whistler\smss.exe');
     BC_ImportAll;
     ExecuteSysClean;
      BC_Activate;
     BC_DeleteFile('c:\system volume information\whistler\smss.exe');
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  10. #9
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    После перезагрузки файлы в папке C:\System Volume Information\Whistler восстанавливаются.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('\Program Files\DAEMON Tools Lite\daemon.dll','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  12. #11
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Вот лог выполнения скрипта:
    Удаление файла:E:\avz4\Quarantine\ *.*
    Ошибка карантина файла, попытка прямого чтения (\Program Files\DAEMON Tools Lite\daemon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (\Program Files\DAEMON Tools Lite\daemon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (\Program Files\DAEMON Tools Lite\)
    Карантин с использованием прямого чтения - ошибка
    Создание архива с файлами из карантина
    Создание архива с файлами из карантина завершено

    Соответственно, в карантине пусто

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SetAVZPMStatus(true);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи virusinfo_syscure.zip и virusinfo_syscheck.zip

  14. #13
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    логи делал тоже через перезагрузку
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Анализируя отчеты Gmer можно увидеть, что каждый раз создается какой-то виртуальный файл sp**.sys, и он как-то связывается с atapi.sys. Может ноги оттуда растут?

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,625
    Вес репутации
    2917
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    добрый день, лог.
    Вложения Вложения

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,625
    Вес репутации
    2917
    Что за куча tmp-файлов в папке wIndows? Удалите их вручную

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    lvmxigf
    
    NetSVC::
    lvmxigf
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8053:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
     QuarantineFile('c:\system volume information\whistler\svchost.exe','');
     DeleteFile('c:\system volume information\whistler\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Систему переустанавливаю, есть ограничения во времени, всем спасибо за желание помочь, логи на всякий случай высылаю.
    Вложения Вложения

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\system volume information\whistler\smss.exe - Trojan.Win32.Vilsel.adnj ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846055, AVAST4: Win32:Unruy-E [Trj] )
      2. c:\system volume information\whistler\svchost.exe - Trojan.Win32.Vilsel.adnt ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846262, AVAST4: Win32:Unruy-E [Trj] )


  • Уважаемый(ая) Simba, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 25.06.2010, 18:16
    2. Помогите побороть System Volume Information\Whistler
      От whileoff в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.06.2010, 21:01
    3. наверно вирус в System Volume Information
      От nemestnaya в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 03:04
    4. Вирус в System Volume Information
      От nemestnaya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:57
    5. В папке "System Volume Information" неясно откуда появляется червь
      От Koma в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 16.02.2007, 10:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00648 seconds with 22 queries