Показано с 1 по 12 из 12.

Не побеждается win32/injector.brp (заявка № 79935)

  1. #1
    Junior Member Репутация
    Регистрация
    01.06.2010
    Сообщений
    6
    Вес репутации
    51

    Exclamation Не побеждается win32/injector.brp

    Здравствуйте!
    Месяц воюю с вирусом. Вирус лезет на некий ip, пытаясь подгрузить, его тут же перехватывает нод есет32, сканирую постоянно, ловит убивает что найдёт... Но результата нет. Вирус создаёт много экзешников, которые нод и касперский (ставил вместо Нода) не могут победить следующим макаром - Нод не видит, а каспер - не может победить (удаляет они лезут снова). Экзешники в темпах и в мусорке. Название вируса - по детекту нода. Абсолютно весь софт - лиценз, увы сп3 не стоит, стоит сп2. Восстановление системы давно отключено...

    Также сей вирус цепляет свои экзешники в автозапуск, но другие.. удаляю с автозапуска - они снова потом но с другим именем там появляются...

    После блокирования вируса пропадает намертво инет, пинг с командной не идёт, браузер ни один не пашет, тем не менее аська, скайп и майл агент работают. После перезагрузки тем не менее до блокирования через 1 минуту - до этого момента браузеры пашут. При отключении сети зловредная деятельность прекращается.

    Помогите убить гада, со времён винчиха первый раз вижу неубиваемый моими антивирусами зловреда....

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\umdmgr.exe');
     TerminateProcessByName('c:\windows\system32\scvdll.exe');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     TerminateProcessByName('c:\windows\system32\msupio32.exe');
     TerminateProcessByName('c:\windows\jjdrive32.exe');
    QuarantineFile('C:\DOCUME~1\E4BC~1\LOCALS~1\Temp\662.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3905135055-7575643716-226453734-7050\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6598042176-6799727086-649787697-8218\playncr.exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-6598042176-6799727086-649787697-8218\playncr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3905135055-7575643716-226453734-7050\syscr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('c:\windows\system32\umdmgr.exe','');
     QuarantineFile('c:\windows\system32\scvdll.exe','');
     QuarantineFile('c:\windows\system32\msvmiode.exe','');
     QuarantineFile('c:\windows\system32\msupio32.exe','');
     QuarantineFile('c:\windows\jjdrive32.exe','');
     DeleteFile('c:\windows\jjdrive32.exe');
     DeleteFile('c:\windows\system32\msupio32.exe');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     DeleteFile('c:\windows\system32\scvdll.exe');
     DeleteFile('c:\windows\system32\umdmgr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3905135055-7575643716-226453734-7050\syscr.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-6598042176-6799727086-649787697-8218\playncr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3905135055-7575643716-226453734-7050\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6598042176-6799727086-649787697-8218\playncr.exe');
    DeleteFile('C:\DOCUME~1\E4BC~1\LOCALS~1\Temp\662.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','05');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','767');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','621');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','842');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','250');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','684');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','151');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','299');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','145');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    01.06.2010
    Сообщений
    6
    Вес репутации
    51
    Всё работало идеально минут 20 потом с темпа опять полез он. Присылаю файлы. Вопрос - насколько обязательно сканирование майлваром? Полный поиск вирусов на моих винтах занимает больше суток, очень много файлов... А сейчас время на это нет - работаю почти круглосуточно, был заражён домашний комп - потому месяц и возился...

    Карантин прислал согласно правилам

  5. #4
    Junior Member Репутация
    Регистрация
    01.06.2010
    Сообщений
    6
    Вес репутации
    51
    только что доделался лог программы mbam - прикрепляю как есть

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все найденное и сделайте новый лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    01.06.2010
    Сообщений
    6
    Вес репутации
    51
    Кажется, всё получилось. Вирус больше никак себя не показывает. Прилагаю логи - вдруг ещё остался...

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\RECYCLER\S-1-5-21-1738803849-4001678119-826746109-6488\playncr.exe,explorer.exe,C:\RECYCLER\S-1-5-41-6909702763-5437756094-404336968-3174\playmed.exe,Explorer.exen','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-1738803849-4001678119-826746109-6488\playncr.exe',''); 
    QuarantineFile('C:\RECYCLER\S-1-5-41-6909702763-5437756094-404336968-3174\playmed.exe','');
     TerminateProcessByName('c:\windows\system32\umdmgr.exe');
     QuarantineFile('c:\windows\system32\umdmgr.exe','');
     TerminateProcessByName('c:\windows\system32\scvdll.exe');
     QuarantineFile('c:\windows\system32\scvdll.exe','');
     DeleteFile('c:\windows\system32\scvdll.exe');
     DeleteFile('c:\windows\system32\umdmgr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-41-6909702763-5437756094-404336968-3174\playmed.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-1738803849-4001678119-826746109-6488\playncr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1738803849-4001678119-826746109-6488\playncr.exe,explorer.exe,C:\RECYCLER\S-1-5-41-6909702763-5437756094-404336968-3174\playmed.exe,Explorer.exen');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы AVZ
    Сделайте новые логи + лог МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    01.06.2010
    Сообщений
    6
    Вес репутации
    51
    Прошу прощения за перерыв, заниматься компом не было времени. Сделал всё, как писали. Карантин отослал. Вирус если он ещё остался себя пока не проявляет никак, в процессах чисто, антивирус молчит - атак 0... Обновление AVZ выполнить не удаётся никаким образом, а прокси нет, выдаёт ошибку загрузки файла.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. удалите в MBAM
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('C:\WINDOWS\wndrive32.exe');
     TerminateProcessByName('C:\WINDOWS\system32\msvmiode.exe');
     QuarantineFile('C:\WINDOWS\wndrive32.exe ','');
     QuarantineFile('C:\WINDOWS\system32\41.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3439763678-2022858341-651225710-1354\syscr.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe ','');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe ');
     DeleteFile('C:\RECYCLER\S-1-5-21-3439763678-2022858341-651225710-1354\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     DeleteFile('C:\WINDOWS\wndrive32.exe ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Скачайте отсюда архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.
    - Сделайте лог MBAM

  11. #10
    Junior Member Репутация
    Регистрация
    01.06.2010
    Сообщений
    6
    Вес репутации
    51
    карантин отправил, вирус активизировался - опять отрубает браузер, лезет на какой-то адрес, его антивирь блокирует... как получится выйти в инет нормально, так пришлю новые логи... может форматнуть всё?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Система дырявая. Вот вирус и лезет

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Делайте лог МВАМ и сразу удаляйте обнаруженное в нем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\e4bc~1\locals~1\temp\662.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Packed.20375, AVAST4: Win32:VB-PKR [Drp] )
      2. c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan-Dropper.Win32.VB.mzb ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VB-PKR [Drp] )
      3. c:\recycler\s-1-5-21-3905135055-7575643716-226453734-7050\syscr.exe - Trojan-Dropper.Win32.VB.anra ( DrWEB: Win32.HLLW.VBNA.2, BitDefender: Trojan.Generic.4059959, AVAST4: Win32:Malware-gen )
      4. c:\windows\jjdrive32.exe - Trojan-Dropper.Win32.VB.myw ( DrWEB: Trojan.Click.50748, AVAST4: Win32:VB-PKR [Drp] )
      5. c:\windows\system32\msupio32.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Spambot.9048, BitDefender: Worm.Generic.249887, NOD32: Win32/SpamTool.Tedroo.AM trojan, AVAST4: Win32:VB-PKR [Drp] )
      6. c:\windows\system32\msvmiode.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4076368, AVAST4: Win32:VB-PKR [Drp] )
      7. c:\windows\system32\scvdll.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VB-PKR [Drp] )
      8. c:\windows\system32\umdmgr.exe - Trojan-Dropper.Win32.VB.mza ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VB-PKR [Drp] )
      9. c:\windows\wndrive32.exe - Trojan.Win32.VBKrypt.aya ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.4190235 )


  • Уважаемый(ая) Dramas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 16.07.2011, 15:09
    2. Win32.injector.BPR
      От `@spIriN в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.05.2010, 17:22
    3. Ответов: 10
      Последнее сообщение: 16.08.2009, 11:00
    4. Последствия Win32/Adware.virtumonde + Win32/Injector.CR
      От ==d1AbLo== в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:50
    5. Ответов: 4
      Последнее сообщение: 10.01.2009, 17:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00664 seconds with 19 queries