Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

wwwznv32.exe (заявка № 83435)

  1. #1
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51

    Thumbs up wwwznv32.exe

    Доброе утро.
    Подцепил вирус,svchost загружает ЦП на 99%.
    Прошу вашей помощи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
     RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^wwwznv32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Профиксите в HijackThis что останется
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - Startup: wwwznv32.exe
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Файл сохранён как 100720_112916_quarantine_4c45504c82bf4.zip
    Размер файла 58817
    MD5 eaa5d6f96b9a612dd69211b7748fc5db

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '05.05.2010', '20.07.2010');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - сделайте лог Combofix

  6. #5
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Файл сохранён как 100720_122159_quarantine_4c455ca77bf2c.zip
    Размер файла 15719463
    MD5 fbc0bc5d3f5b21837d248c436aede692

    Карантин загрузил, но с Combofix'ом проблема, после его работы, примерно через 5-10 минут, компьютер выдал синий экран.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    попробуйте сделать лог еще раз

  8. #7
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Снова синий экран.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Пуск - Выполнить - regedit
    Ветку
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^wwwznv32.exe]
    удалите вручную

    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
     DeleteFile('C:\WINDOWS\system32\ijt3Pwg.exe');
    DeleteFile('C:\WINDOWS\system32\bWWkGjf.exe');
    DeleteFile('C:\WINDOWS\system32\3N70lyW.exe');
    DeleteFile('C:\WINDOWS\system32\FSRPM0I.exe');
    DeleteFile('C:\WINDOWS\system32\lucQsUQ.exe');
    DeleteFile('C:\WINDOWS\system32\PfQmnrv.exe');
    DeleteFile('C:\WINDOWS\system32\WFLgqXJ.exe');
    DeleteFile('C:\WINDOWS\system32\zmj4OXq.exe');
    DeleteFile('C:\WINDOWS\system32\ZfB6c3l.exe');
    DeleteFile('C:\WINDOWS\system32\r50KdrK.exe');
    DeleteFile('C:\WINDOWS\system32\Y806Jwr.exe');
    DeleteFile('C:\WINDOWS\system32\ZdW6oU0.exe');
    DeleteFile('C:\WINDOWS\system32\yqtCIQY.exe');
    DeleteFile('C:\WINDOWS\system32\SFOQcn7.exe');
    DeleteFile('C:\WINDOWS\system32\Yu49rWu.exe');
    DeleteFile('C:\WINDOWS\system32\Yk6sKQX.exe');
    DeleteFile('C:\WINDOWS\system32\ZpPXBqM.exe');
    DeleteFile('C:\WINDOWS\system32\WjzFsjB.exe');
    DeleteFile('C:\WINDOWS\system32\PYEYjxE.exe');
    DeleteFile('C:\WINDOWS\system32\yHT7Afa.exe');
    DeleteFile('C:\WINDOWS\system32\QutNX2F.exe');
    DeleteFile('C:\WINDOWS\system32\XOsRmh0.exe');
    DeleteFile('C:\WINDOWS\system32\t89yHQH.exe');
    DeleteFile('C:\WINDOWS\system32\QIsZ1og.exe');
    DeleteFile('C:\WINDOWS\system32\nPte5UB.exe');
    DeleteFile('C:\WINDOWS\system32\xKYLBIJ.exe');
    DeleteFile('C:\WINDOWS\system32\uhYWLes.exe');
    DeleteFile('C:\WINDOWS\system32\zNSxCVF.exe');
    DeleteFile('C:\WINDOWS\system32\qStIHQg.exe');
    DeleteFile('C:\WINDOWS\system32\UqRGYDm.exe');
    DeleteFile('C:\WINDOWS\system32\rGVSzho.exe');
    DeleteFile('C:\WINDOWS\system32\tVoSmJO.exe');
    DeleteFile('C:\WINDOWS\system32\uhLWP6G.exe');
    DeleteFile('C:\WINDOWS\system32\wbrjsTU.exe');
    DeleteFile('C:\WINDOWS\system32\Qi7duwq.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте повторный лог RSIT

  10. #9
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Сделал.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM

    Добавлено через 8 минут

    и еще выполните такой скрипт в AVZ:
    Код:
    begin
     BackupRegKey('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\', 'wwwznv32');
    end.
    Файл wwwznv32_************.reg из папки AVZ\Backup\...\ приложите в теме.
    Последний раз редактировалось polword; 20.07.2010 в 14:43. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Сделал
    Не могу приложить файл wwwznv32_************.reg
    Не получается загрузить.Сейчас попробую еще раз.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от polword Посмотреть сообщение
    выполните такой скрипт в AVZ:
    Код:
    begin
     BackupRegKey('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\', 'wwwznv32');
    end.
    Файл wwwznv32_************.reg из папки AVZ\Backup\...\ приложите в теме.
    вот это сделайте

  14. #13
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Вот, получилось

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - сделайте лог Combofix

  16. #15
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Синий экран.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение.
    делали?

  18. #17
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Делал.Выключал все что было указано

    Добавлено через 24 минуты

    В чем может быть проблема?
    Последний раз редактировалось Nktee; 21.07.2010 в 08:13. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    давайте так попробуем
    удалите файл
    C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe
    с помощью IceSword
    - перезагрузитесь.
    - Сделайте повторный лог virusinfo_syscheck.zip;

  20. #19
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    25
    Вес репутации
    51
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написал хелпер.
    Объясните, пожалуйста,что такое руткит?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    ваш руткит - C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe

  • Уважаемый(ая) Nktee, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. wwwznv32.exe
      От homiake в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 10.08.2010, 23:22
    2. wwwznv32.exe =(((
      От таточка в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.07.2010, 16:05
    3. wwwznv32
      От zipa в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 19.07.2010, 19:46
    4. wwwznv32.exe
      От Рокер в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.07.2010, 16:14
    5. wwwznv32.exe
      От Nerimash в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 19.07.2010, 13:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00839 seconds with 19 queries