Прошу помощи. Поселилась на компе зараза под названием TR/Crypt.ZPACK.Gen. При обнаружении ее Авирой независимо от выбранного пункта (удалить, пропустить и так далее) система через пару секунд уходит в ребут.
Прошу помощи. Поселилась на компе зараза под названием TR/Crypt.ZPACK.Gen. При обнаружении ее Авирой независимо от выбранного пункта (удалить, пропустить и так далее) система через пару секунд уходит в ребут.
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\user\locals~1\temp\934745.exe'); TerminateProcessByName('c:\docume~1\user\locals~1\temp\11905.exe'); QuarantineFile('c:\docume~1\user\locals~1\temp\934745.exe',''); QuarantineFile('c:\docume~1\user\locals~1\temp\11905.exe',''); QuarantineFile('C:\thumbs.db',''); QuarantineFile('C:\WINDOWS\system32\incognito.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\servecis.exe',''); QuarantineFile('csrs.exe',''); QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe',''); QuarantineFile('C:\WINDOWS\system32\sshnas21.dll',''); QuarantineFile('C:\WINDOWS\msa.exe',''); QuarantineFile('C:\Documents and Settings\Администратор.COMPUTER\Application Data\cift.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\pb8\System',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\pb8\BlueSoleiI.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Trs.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Trr.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\226.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\vcuafepyrnbsb.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\zmpcvp.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\zuukttejabgybb.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ijodlvkn.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\niyfskfhgudsjb.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\dkedjblk.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\onkdp.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\rtqzlbc.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\azoaumfovdika.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\vyecy.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\CMDLIN~1.DLL',''); DeleteService('xumgolbrouez'); DeleteService('vppxlgp'); DeleteService('qcuukqquwt'); DeleteService('obsbktajtjqisfk'); DeleteService('mulvwfw'); DeleteService('jyycfovrpiaa'); DeleteService('ipqmgzdoznuoi'); DeleteService('imuzbshk'); DeleteService('glujrmdaqpnzbp'); DeleteService('fkuexcvfnfb'); DelCLSID('42GHB5C0-6FCB-13HJ-LKX5-81CG1K73250309'); DelCLSID('E2ABAEB9-DDCA-C89F-DAEB-5CE3D076FD06'); DeleteFile('c:\docume~1\user\locals~1\temp\11905.exe'); DeleteFile('c:\docume~1\user\locals~1\temp\934745.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\CMDLIN~1.DLL'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\vyecy.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\azoaumfovdika.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\rtqzlbc.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\onkdp.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\dkedjblk.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\niyfskfhgudsjb.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ijodlvkn.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\zuukttejabgybb.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\zmpcvp.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\vcuafepyrnbsb.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\226.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Trr.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Trs.exe'); DeleteFile('C:\Documents and Settings\Администратор.COMPUTER\Application Data\cift.exe'); DeleteFile('C:\WINDOWS\msa.exe'); DeleteFile('C:\WINDOWS\system32\sshnas21.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\servecis.exe'); DeleteFile('C:\WINDOWS\system32\incognito.exe'); DeleteFile('C:\thumbs.db'); DeleteFile('C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); DeleteFile('C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ROUA3O12PW'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','F5JMWNZTHI'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TOY5KNQ8OC'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин отослал. Новые логи сделал.
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\user\locals~1\temp\23796.exe'); TerminateProcessByName('c:\docume~1\user\locals~1\temp\404574.exe'); QuarantineFile('c:\windows\csrs.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\404574.exe',''); QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\14.tmp',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\uejxrfbenfqqsat.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\pyrjgqdt.sys',''); QuarantineFile('C:\Documents and Settings\User\Application Data\cift.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\protect.sys',''); QuarantineFile('c:\docume~1\user\locals~1\temp\23796.exe',''); SetServiceStart('protect', 4); DeleteService('orlhr'); DeleteService('protect'); DeleteFile('c:\docume~1\user\locals~1\temp\404574.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\uejxrfbenfqqsat.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\404574.exe'); DeleteFile('c:\windows\csrs.exe'); DeleteFile('C:\WINDOWS\system32\DRIVERS\protect.sys'); DeleteFile('c:\docume~1\user\locals~1\temp\23796.exe'); DeleteFile('C:\Documents and Settings\User\Application Data\cift.exe'); DeleteFile('C:\WINDOWS\system32\sysnkey32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Services'); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Карантин отослал. Сразу после перезагрузки не загружалась операционка показывая перед ребутом на долю секунды белые надписи на черном экране. При загрузке в безопасном режиме система нашла новое неопознанное оборудование и предложила найти для него драйвера. Проверка AVPTool'ом папки windows обнаружила троян в файле cdrom.sys который был вылечен. После этого система загружается нормально без перезагрузок.
Логи в AVZ сделать не смог. При выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", AVZ зависает при проверке папки c:\windows\system32\drivers\disdn\
При выполнении скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" AVZ зависает на этапе "Выполняется исследование системы". Ждал минут тридцать, программа так и не выдала сообщение о завершении выполнения скрипта. Поэтому прикрепляю только лог HiJackThis.
Хороший зоопарк у Вас, даже почти свежий червяк Mydoom засветился.
Вы пользуетесь mIRC C:\Documents and Settings\User\Local Settings\Temp\pb8\..)?
Попробуем так.
Отключите компьютер от интернета
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. Попробуйте сделать новые логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('c:\documents and settings\user\wuaucldt.exe',''); DeleteFile('C:\WINDOWS\system32\sysnkey32.exe'); DeleteFile('c:\documents and settings\user\wuaucldt.exe'); DeleteFile('c:\windows\system32\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
mIRC не пользуюсь. Несколько раз при загрузке появлялось ее окно и само закрывалось.
Карантин отослал. Обновления установил. Логи сделать в AVZ не получается, зависает все на тех же местах.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteWizard('TSW', 2, 2, true); QuarantineFile('C:\WINDOWS\System32\Drivers\disdn\*.*',''); DeleteFileMask('C:\WINDOWS\System32\Drivers\disdn', '*.*', true); DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\14.tmp'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\pb8\System'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinXPService'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\pb8\BlueSoleiI.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FixBluetooth'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
В карантине пусто, AVZ зависает все на тех же местах. Да еще меня от интернета провайдер отключил за спам. Думаю переустановить Windows.
Базы перед проверкой, естественно, обновил. Все равно на той же папке проверка зависает. Папка пуста как и карантин.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Переустановил систему а то старый Windows потихоньку из-за чего-то впал в маразм не желая выключать компьютер. Да и таскать каждый раз на работу логи чтобы их скинуть сюда затруднительно было. Посмотрите, пожалуйста, все ли у меня теперь чисто.
Большое спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 90
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\application data\cift.exe - Trojan-Downloader.Win32.Agent.dwmi ( DrWEB: Trojan.Packed.20412, BitDefender: Trojan.Agent.APUE, AVAST4: Win32:Delfcrypt-F [Drp] )
- c:\documents and settings\user\local settings\temp\pb8\system - not-a-virus:Client-IRC.Win32.mIRC.603 ( DrWEB: Program.mIRC.603, BitDefender: Worm.Generic.63053 )
- c:\documents and settings\user\wuaucldt.exe - Trojan.Win32.Inject.arsc
- c:\documents and settings\администратор.computer\application data\cift.exe - Trojan-Downloader.Win32.Agent.dwmi ( DrWEB: Trojan.Packed.20412, BitDefender: Trojan.Agent.APUE, AVAST4: Win32:Delfcrypt-F [Drp] )
- c:\docume~1\user\locals~1\temp\uejxrfbenfqqsat.sys - Rootkit.Win32.Agent.bhvx ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.381265, AVAST4: Win32:Malware-gen )
- c:\docume~1\user\locals~1\temp\23796.exe - Email-Worm.Win32.Mydoom.lg
- c:\windows\system32\drivers\protect.sys - Rootkit.Win32.Agent.jj ( DrWEB: Trojan.NtRootKit.429, BitDefender: Trojan.Generic.2206884, NOD32: Win32/SpamTool.Agent.NAJ trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\sysnkey32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Click.1014, BitDefender: Trojan.Generic.4227890, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\wuaucldt.exe - Trojan.Win32.Inject.arsc
Уважаемый(ая) Tier, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.