Показано с 1 по 12 из 12.

Постоянно рецидивируюший вирус. (заявка № 80375)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    26

    Exclamation Постоянно рецидивируюший вирус.

    Avast при каждой загрузке находит зараженные файлы, которые создаются в папке D:/_temp, с числовыми названиями (070.ехе, 154.ехе и т.д.), вирусы win32:VB-pkr[drp], win32: Dravur-D[cryp]. Как только он их находит, инет блокируется ( как ни странно, частично работает контакт, остальные сайты нет). При каждой перезагрузке cure it находит одни и те же вирусы, тоже с числовыми названиями, вирус Hllw.lime.8.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\41.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3769657372-5400880701-324239481-3372\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-3769657372-5400880701-324239481-3372\syscr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
     QuarantineFile('C:\WINDOWS\wndrive32.exe','');
     DeleteFile('C:\WINDOWS\wndrive32.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
      ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    26
    Карантин отослан.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('D:\_TEMP\477.exe','');
     QuarantineFile('D:\_TEMP\668.exe','');
     QuarantineFile('D:\_TEMP\822.exe','');
     QuarantineFile('D:\_TEMP\338.exe','');
     QuarantineFile('C:\WINDOWS\system32\28.exe','');
     QuarantineFile('C:\WINDOWS\system32\42.exe','');
     QuarantineFile('C:\WINDOWS\system32\33.exe','');
     QuarantineFile('C:\WINDOWS\system32\07.exe','');
     QuarantineFile('C:\WINDOWS\system32\35.exe','');
     QuarantineFile('C:\WINDOWS\system32\77.exe','');
     DeleteFile('D:\_TEMP\477.exe');
     DeleteFile('D:\_TEMP\668.exe');
     DeleteFile('D:\_TEMP\822.exe');
     DeleteFile('D:\_TEMP\338.exe');
     DeleteFile('C:\WINDOWS\system32\28.exe');
     DeleteFile('C:\WINDOWS\system32\42.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
    - Сделайте повторные логи log.txt и info.txt.

  6. #5
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    26
    После выполнения первого скрипта и перезагрузки avast предупредил об 01.ехе в c:\windows\system32, вирус win32:vbmod[trj]. Затем вылетела ошибка svchost.exe память обратилась, не может быть read и т.д., сдох инет, пришлось ребутаться. Карантин сделал до того, как все это произошло. Логи делаю после 2ой перезагрузки. Так, RSIT создает только 1 файл...
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. Панель управления - Брандмауэр Windows
    Удалите из его исключений
    D:\_TEMP\477.exe
    D:\_TEMP\338.exe
    D:\_TEMP\822.exe
    D:\_TEMP\668.exe
    D:\_TEMP\417.exe
    2.Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(19);
      RebootWindows(true);
    end.
    После перезагрузки:
    обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .
    - поставте Adobe Reader 9.3 или удалите старый.

    - Проведите процедуру, которая описана в первом сообщении тут.
    результат загрузки прикрепите к новому сообщению

  8. #7
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    26
    Брандмауэр отключен, в исключениях ничего похожего не нашел.

    IE обновить не смог, просит установить какой то update, а когда его устанавливаю, говорит, что стоит версия новее и обновлять не надо. Остальное обновил. В процессе avast опять засек пару файлов: C:\WINDOWS\system32\53.exe [L] Win32:VBMod [Trj]
    C:\WINDOWS\system32\42.exe [L] Win32:VBMod [Trj].

    файл прикрепить не могу, размер больше чем можно. Но я в той ветке его загрузил и написал последнее сообщение.
    "Файл сохранён как: 100607_214320_virusinfo_files_COMPUTER_4c0d2fb8c3d 6d.zip
    Размер файла: 11325369
    MD5: a2c7e2a28fc08cdc09b2d25d6110d30d"

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    делайте новый комплект логов +лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    26
    Лог MbaM - это сохраненный отчет? Что-то самостоятельно он не сгенерировался, может я посмотрел не там? Прикрепляю результат отчета.
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    26
    Я тут подумал. Могут ли логи не полностью отражать ситуацию? Процесс (wndrive32.exe), который блочит мне инет и создают кучу файлов в разных папках, он самопроизвольно запускается раз минут в 15. А логи я делаю после перезагрузки и , когда он еще не запущен, не знаю влияет ли это как то на кач-во, на всякий решил сообщить.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Обновления для системы, вышедшие после SP3, все установлены? Сомнительно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-3769657372-5400880701-324239481-3372\syscr.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      2. c:\windows\system32\07.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      3. c:\windows\system32\33.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      4. c:\windows\system32\35.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      5. c:\windows\system32\41.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      6. c:\windows\system32\77.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )


  • Уважаемый(ая) luv2every1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус постоянно перезагружает ПК
      От nataly18 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.06.2011, 22:16
    2. Постоянно появляется вирус
      От lionpro в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.04.2011, 08:43
    3. Постоянно атакует вирус
      От Mentoz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.12.2010, 15:27
    4. Постоянно создается вирус
      От Джамбо в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 03.05.2010, 22:55
    5. Постоянно появляется вирус
      От Станислав Сидоренко в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.04.2009, 10:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00219 seconds with 22 queries