-
Junior Member
- Вес репутации
- 51
Сворачиваются окна, обрывается сеть
Проблема 1: Периодически сворачиваются полноэкранные игры и окна становятся неактивными.
Проблема 2: через 20-30 мин. после подключения сети она обрывается. Причём сперва вылазило сообщение "для безопасности системы было отключено устройство Generic Marvell Yukon 88E8056 based Enternet Controller"(включение устройства не помогало)
После проверки nod32, вместо него стало вылазить сообщение "Generic Host Process for Win32 Services - обнаружена ошибка".
После выполнения действий 1-3, указанных в правилах, сообщений нет, но всё-равно отключается.
Причём во всех случаях значок сети Интернет не на что не реагирует.
Проблема 3: Nod ругается на файлы A13.exe, C002.exe, E001.exe, H001.exe, J001.exe, P001.exe.
Появляются они в C:\WINDOWS\system32\ в папках с именами наподобие "OLLN056A", "Q88B1CVF", "UUDIXSXI", "WBTR4Q35".
Проблема 4: иногда PC начинает подвисать и панель задач становится недоступной.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sopasvstart.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('c:\windows\system32\sopasvstart.dll','');
QuarantineFile('C:\WINDOWS\System32\sopasclib.dll','');
QuarantineFile('c:\documents and settings\all users\application data\storm\update\Console\vxrju.cc3','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\sopasvstart.dll');
DeleteFile('C:\WINDOWS\System32\sopasclib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SopSrv\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + такие логи (лог gmer и mbam)
-
-
Junior Member
- Вес репутации
- 51
DefesT,
А какие именно файлы должны быть в карантине?
-
QuarantineFile('C:\WINDOWS\system32\sopasvstart.dl l','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','') ;
QuarantineFile('c:\windows\system32\sopasvstart.dl l','');
QuarantineFile('C:\WINDOWS\System32\sopasclib.dll' ,'');
QuarantineFile('c:\documents and settings\all users\application data\storm\update\Console\vxrju.cc3','');
Вот эти, но они могут не попасть туда.
-
-
Junior Member
- Вес репутации
- 51
карантин прислал
вот логи:
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится vi6m8qke.exe (gmer)
Код:
vi6m8qke.exe -del service cbciy
vi6m8qke.exe -del file "C:\WINDOWS\system32\sowvej.dll"
vi6m8qke.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cbciy"
vi6m8qke.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cbciy"
vi6m8qke.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Удалите в mbam:
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Comhidserv70 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0FE10989\nffnxnm[1].jpg (Worm.Conficker) -> No action taken.
C:\WINDOWS\system32\sowvej.dll (Worm.Conficker) -> No action taken.
C:\WINDOWS\system32\t\A19.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\t\H001.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\all users\application data\storm\update\Console\vxrju.cc3 - файл знаком?
Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам
из файла avz_log.txt и установите обновления.
Сделайте новые логи - virusinfo_syscheck.zip и hijackthis.log
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
DefesT
c:\documents and settings\all users\application data\storm\update\Console\vxrju.cc3 - файл знаком?
Нет. Что это?
Сообщение от
DefesT
Пройдитесь по ссылкам
из файла avz_log.txt и установите обновления.
Нашел его на разных файлообмениках. Подскажите где его лучше взять?
-
В логе фирменные ссылки есть, откуда качать.
-
-
И сообщение №7 не забудьте выполнить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
pig, где сам avz_log.txt взять?
thyrex, не забуду))
-
Сообщение от
SergAntIk
где сам avz_log.txt взять?
Ссылка на него в сообщении №6
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Отсюда:
Сообщение от
DefesT
Скачайте файл
ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ.
-
-
Junior Member
- Вес репутации
- 51
-
1. кнопка Пуск - Выполнить - regedit, откроется редактор реестра
Зайдите в ветку
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
и удалите параметр SopSrv
2. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
NetSvc::
cbciy
Folder::
c:\windows\system32\WMEAD4SD
c:\windows\system32\B8TTPM0J
c:\windows\system32\PL4OVK7D
c:\windows\system32\SUM64017
c:\windows\system32\FJGEJO5S
c:\windows\system32\6HAVQOL2
c:\windows\system32\OLLN056A
c:\windows\system32\Q88B1CVF
c:\windows\system32\UUDIXSXI
c:\windows\system32\WBTR4Q35
c:\windows\system32\2JGGESQH
c:\windows\system32\5DH86LZD
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9498:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 51
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
SopSrv
Folder::
c:\windows\system32\t
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Плохого не видно
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51