У меня антивирус COMODO. Вчера выдал предупреждение, что services.exe пытается выполнить атаку (какой-то shell-ключ) на переполнение трафика. Вижу по фаерволу, что services.exe забрал почти 80-90% трафика. Пробовал и закрыть этот процесс, и через фаервол запретить, ничего не помогает, интернета почти нет. Прилагаю логи. Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню
драйверов правой кнопкой по fdsknn, wwuvcz, zvsjaufp и выберите "Turn Run Off". Подтвердите перезагрузку.
Далее загрузитесь в безопасном режиме!
Закройте все программы, выполните скрипт в AVZ в безопасном режиме:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\fdsknn'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\fdsknn\Parameters'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wwuvcz'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wwuvcz\Parameters'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zvsjaufp'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zvsjaufp\Parameters'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe',''); QuarantineFile('C:\WINDOWS\system32\woujiqu.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\sshnas21.dll',''); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); QuarantineFile('C:\WINDOWS\system32\rmv.exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\Grezua.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\woujiqu.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\fodannussas.exe',''); QuarantineFile('C:\Documents and Settings\-\Главное меню\Программы\Автозагрузка\siszpe32.exe',''); QuarantineFile('C:\DOCUME~1\-\LOCALS~1\Temp\Gzh.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); QuarantineFile('C:\WINDOWS\system32\srvany.exe',''); QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\voobo.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\welu.exe',''); QuarantineFile('c:\windows\system32\..\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\wwuvcz.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\fdsknn.sys',''); DeleteService('MyWebSearchService'); DeleteService('abp470n5'); DeleteService('Reset 5'); DeleteService('kue5ei32aaomuqog'); DeleteService('azlo2uay'); DeleteService('msupdate'); DeleteFile('C:\WINDOWS\system32\Drivers\fdsknn.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\wwuvcz.sys'); DeleteFile('c:\windows\system32\..\svchost.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\welu.exe'); DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\voobo.exe'); DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe'); DeleteFile('C:\WINDOWS\system32\srvany.exe'); DeleteFile('C:\WINDOWS\system32\drivers\mnkpvn.sys'); DeleteFile('C:\DOCUME~1\-\LOCALS~1\Temp\Gzh.exe'); DeleteFile('C:\Documents and Settings\-\Главное меню\Программы\Автозагрузка\siszpe32.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\fodannussas.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\woujiqu.exe'); DeleteFile('C:\WINDOWS\Grezua.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\rmv.exe'); DeleteFile('C:\WINDOWS\system32\servises.exe'); DeleteFile('C:\WINDOWS\system32\sshnas21.dll'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\woujiqu.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','vegise'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','vegise'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WEK9EMDHI9'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','roukooju'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','roukooju'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','roukooju'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vahodooqu'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','roukooju'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','vegise'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YVIBBBHA8C'); DeleteFile('C:\Windows\Tasks\At1.job'); DeleteFile('C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); DeleteFile('C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделал новые логи. Карантин отослал.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe',''); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('C:\WINDOWS\system32\uorqt.dll',''); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteFile('C:\WINDOWS\system32\uorqt.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe'); DeleteFileMask('C:\PROGRA~1\MYCENT~1','*.*',true); DeleteDirectory('C:\PROGRA~1\MYCENT~1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\zvsjaufp\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в Hijackthis:Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)Код:O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file) O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file) O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file) O20 - AppInit_DLLs:
карантин выслал. Логи сделал. Прилагаю.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
всё хорошо, спасибо, уже не глючит
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\-\\главное меню\\программы\\автозагрузка\\siszpe32.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Botnetlog.558, BitDefender: Gen:Variant.Barys.508, AVAST4: Win32:MalOb-BH [Cryp] )
- c:\\windows\\system32\\drivers\\fdsknn.sys - Rootkit.Win32.Bubnix.bba ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\drivers\\wwuvcz.sys - Backdoor.Win32.IEbooot.fbs ( DrWEB: Trojan.Spambot.9451, BitDefender: Trojan.IEBooot.E, NOD32: Win32/Agent.OFB trojan, AVAST4: Win32:Bubak [Rtk] )
Уважаемый(ая) Heihachi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
