-
Junior Member
- Вес репутации
- 50
Неудаляемый вирус
На только что поставленную систему попала бацила и никак не могу от нее избавиться! Не лечит ни что. Стоит антивирь Аваст, дополнительно сканил Cureit!, AVZ, AVPTool. Находят куски вируса, но после перезагрузки все встает "на свои места".
Нашел следующие "левые" файлы:
В C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files появляются tbf.exe, irc2.exe и clc.exe
в свойствах источники:
//208.53.183.4/tbf.exe
//208.53.183.222/clc.exe
//74.63.78.41/clc.exe
//208.53.183.113/tbf.exe
//208.53.183.124/irc2.exe
//208.53.183.46/clc.exe
В C:\Documents and Settings\All Users\Application Data\
B7B394A5D2.sys
KGyGaAvL.sys
C:\Temp (цифры).exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z23MUDYV\t[1].exe
C:\WINDOWS\system32 (31,37,83...).exe
C:\RECYCLER\S-1-5-21-***
C:\System Volume Information\_restore(***)\RP*\A***.exe (много)
В реестре, создаются записи:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\cfdrive32.exe
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\system32\msvmiode.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ | MSODESNV7 | "C:\WINDOWS\system32\msvmiode.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ | Microsoft Driver Setup | "C:\WINDOWS\cfdrive32.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\cfdrive32.exe
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\system32\msvmiode.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\RECYCLER\S-1-5-21-7488701346-1188046656-398411520-5884\syscr.exe,explorer.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe
Даже после удаления всех этих файлов и закрытия процессов непрерывно создается
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Taskman | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
Как бы вычислить что их создает?...
При втыкании флешки создаётся E:\myfolder\myfile.exe и autorun.inf
cfdrive32.exe через несколько минут забивает буфер из-за чего не
запускается практически ни одна программа. Благо, легко срубается.
Это то, что я нашел. После чистки и перезагрузки все создается заново.
Могу выложить архив с этими вирусами.
Никакое из выполненных лечений не помогло. Бьюсь уже 4-й день!
Последний раз редактировалось pig; 17.08.2010 в 23:52.
Причина: умертвил ссылки
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe,explorer.exe,c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe','');
QuarantineFile('c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe,explorer.exe,c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe');
DeleteFile('c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-