Здравствуйте!
Обнаружил вирус wwwznv32.exe в автозагрузке,помогите избавится от него.
Здравствуйте!
Обнаружил вирус wwwznv32.exe в автозагрузке,помогите избавится от него.
Последний раз редактировалось Remady; 18.07.2010 в 14:18.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\gpgapnmv.dll',''); QuarantineFile('c:\windows\system32\ojlsa.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\nbamst.exe',''); QuarantineFile('C:\WINDOWS\system32\8cd0760c.exe',''); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe',''); DeleteService('abp470n5'); DeleteFile('C:\WINDOWS\system32\drivers\psrqkn.sys'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('C:\WINDOWS\system32\8cd0760c.exe'); DeleteFile('C:\WINDOWS\system32\nbamst.exe'); DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll'); DeleteFile('c:\windows\system32\ojlsa.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин отправил,вот новые логи и отчеты,все как вы просили
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
-Выполните скрипт:Код:O4 - Startup: wwwznv32.exe O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('C:\WINDOWS\system32\drivers\vdmymjk3.sys'); DeleteFile('C:\WINDOWS\system32\gpgapnmv.dll'); StopService('qwxadhdzm'); DeleteService('qwxadhdzm'); DeleteFileMask('C:\WINDOWS\system32\','*.tmp',false); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteService('ERman'); DeleteService('mburaplb'); DeleteService('trpriq'); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\ERman'); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\mburaplb'); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\trpriq'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('qwxadhdzm'); SetAVZPMStatus(True); RebootWindows(true); end.
После перезагрузки:
- Провериться: http://support.kaspersky.ru/faq/?qid=208636215
- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
А также
Сохраните текст ниже как cleanup.bat в ту же папку, где находится e1qkc1hp.exe (gmer)
И запустите cleanup.bat.Код:e1qkc1hp.exe -del service ERman e1qkc1hp.exe -del service mburaplb e1qkc1hp.exe -del service trpriq e1qkc1hp.exe -del file "C:\WINDOWS\system32\gpgapnmv.dll" e1qkc1hp.exe -del file "C:\WINDOWS\system32\ojlsa.dll" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\trpriq" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\ERman" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\mburaplb" e1qkc1hp.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\trpriq" e1qkc1hp.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFileF('C:\WINDOWS\system32', '*.exe,*.bat', false,'', 0, 0, '16.07.2010', '18.07.2010'); end.
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
- Сделайте лог полного сканирования MBAM.
А также
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\19b07211.exe c:\windows\system32\6c3275cb.exe c:\windows\system32\wavmdvj.exe c:\windows\system32\pkmrspy.exe c:\windows\system32\ovfzrvg.exe c:\windows\system32\czvvjns.exe c:\windows\system32\lewkuqh.exe c:\windows\system32\qtunjk.exe c:\windows\system32\mmujcf.exe c:\windows\system32\8b9f41b9.exe Driver:: mburaplb trpriq NetSvc:: mburaplb trpriq Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Пофиксите в HiJack
Сделайте новый лог HiJackКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6c3275cb.exe,C:\WINDOWS\system32\19b07211.exe, O4 - Startup: wwwznv32.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все,готово,правда то что вы сказали пофиксить в HiJack,в списках я не нашел таких строк
Удалите в МВАМ
Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные файлы: C:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-07-18\avz00001.dta (Worm.Conficker) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-07-18\avz00002.dta (Worm.Conficker) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-07-18\avz00004.dta (Trojan.PWS) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-07-18\avz00006.dta (Trojan.PWS) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-07-18\avz00010.dta (Trojan.PWS) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-07-18\avz00018.dta (Trojan.PWS) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-07-18\avz00021.dta (Trojan.PWS) -> No action taken. C:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-07-18\avz00022.dta (Trojan.PWS) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000015.exe (Trojan.Dropper) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000017.exe (Trojan.PWS) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000023.exe (Trojan.PWS) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000029.exe (Trojan.PWS) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000031.exe (Trojan.PWS) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000032.exe (Trojan.PWS) -> No action taken. C:\System Volume Information\_restore{54899051-541A-4C5F-87F5-1FCF36D6DBA5}\RP1\A0000019.exe (Trojan.PWS) -> No action taken. C:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил,после этого компьютер перезагрузился,так и должно быть?
Да.
Проблема решена?
да проблема решена,спасибо огромное,что помогли!!!
Удалите ComboFix
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
спасибо всем большое за помощь!!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\главное меню\программы\автозагрузка\wwwznv32.exe - Worm.Win32.Pinit.ny ( DrWEB: Trojan.MulDrop1.39607, AVAST4: Win32:Crypt-GWP [Drp] )
- c:\program files\mozilla firefox\setupapi.dll - Trojan.Win32.BHO.aihr ( DrWEB: Trojan.BhoSiggen.3723, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\aghmvus.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\bgqrdvo.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\bqgiktw.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\cgaadyq.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\clcicbc.exe - Trojan.Win32.Jorik.Shiz.bd ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\cmwskmw.exe - Trojan.Win32.Jorik.Shiz.bd ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\cpdmlus.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\czvvjns.exe - Trojan.Win32.Jorik.Shiz.bj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aiS671oi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\fvlcdhm.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\goaajcp.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\gpgapnmv.dll - Trojan-Downloader.Win32.Kido.a ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, AVAST4: Win32:CoPack [Cryp] )
- c:\windows\system32\jqydhrj.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\jtexpye.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\lewkuqh.exe - Trojan.Win32.Jorik.Shiz.bj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aiS671oi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mjolwvz.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\mmujcf.exe - Backdoor.Win32.Shiz.lb ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\muwjdmj.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\nbamst.exe - Trojan.Win32.Jorik.Shiz.ay ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ofiyxyk.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\ovfzrvg.exe - Trojan.Win32.Jorik.Shiz.bj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aiS671oi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\phjiaiy.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\pkmrspy.exe - Trojan.Win32.Jorik.Shiz.bj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aiS671oi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\qtunjk.exe - Trojan.Win32.Jorik.Shiz.be ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a4JyV!hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\qyicfrw.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\suxcojp.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\vbvnjbw.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\wavmdvj.exe - Trojan.Win32.Jorik.Shiz.bj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aiS671oi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\wmzryeq.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\19b07211.exe - Backdoor.Win32.Shiz.mq ( DrWEB: BackDoor.Siggen.25634, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\6c3275cb.exe - Backdoor.Win32.Shiz.mn ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\8b9f41b9.exe - Backdoor.Win32.Shiz.kz ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\8cd0760c.exe - Backdoor.Win32.Shiz.kz ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Remady, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.