Показано с 1 по 20 из 20.

Новый вирус (заявка № 90853)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49

    Новый вирус

    На флешке появилась скрытая папка BMW, файл sedistabela.exe. Каспер не берет. Вирус его просто блокирует. Проник в комп, распространился по локальной сети. Пытается внедряться в различные процессы. При разблокировке unlocker ом "вешает" проводник. Жду помощи и любых вариантов.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe','');
     QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
     QuarantineFile('C:\windows\system32\regedit.exe','');
     QuarantineFile('C:\windows\ZSSnp211.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ygmdrm.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\ygmdrm.exe');
     DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe');
     DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    повторил логи

  5. #4
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    Карантин загрузил, скрипт выполнил, логи разместил, однако, информация в моей теме не появилась. Следует ли мне повторить процедуру, либо данные получены?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от DVMin Посмотреть сообщение
    информация в моей теме не появилась
    Выходной все-таки

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('J:\BMW\sedistabela.exe','');
     QuarantineFile('C:\windows\system32\regedit.exe','');
     QuarantineFile('C:\windows\system32\DRIVERS\cdrom.sys','');
     DeleteFile('C:\windows\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('J:\autorun.inf');
     DeleteFile('J:\BMW\sedistabela.exe');
    DeleteFileMask('J:\BMW', '*.*', true);
    DeleteDirectory('J:\BMW');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    Простите ламера... В скрипте, я так понимаю, "J" - флешка. А если она у меня под именем "F"? Изменять скрипт?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего не меняйте ...

  9. #8
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    Карантин выслал. Логи выкладываю.

  10. #9
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49

    итог

    После выполнения всех операций sedistabela.exe из папки BMW исчез и больше пока не появлялся. Папку просто удалил. Однако остались последствия. Антивирус пришлось переустанавливать, ибо он отказывался проверять объекты. При загрузке компа появился странный дополнительный писк и непонятное черное окно менее, чем на секунду. Комп больше не зависает и сам собой не перезагружается.
    Огромное спасибо за помощь.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\windows\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    новый лог
    Последний раз редактировалось DVMin; 02.11.2010 в 15:19.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\windows\system32\meclvkmh.dll','');
    end.
    пришлите карантин согласно приложения 3 правил

  14. #13
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    после выполнения скрипта:

    Ошибка карантина файла, попытка прямого чтения (C:\windows\system32\meclvkmh.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\windows\system32\meclvkmh.dll)
    Карантин с использованием прямого чтения - ошибка

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Пришлите файл C:\windows\system32\meclvkmh.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    После выполнения предыдущей рекомендации

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\windows\system32\meclvkmh.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    Файл meclvkmh.dll в C:\windows\system32\ отсутствует

  18. #17
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    новые логи

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    44
    Вес репутации
    49
    Думаю, с проблемой покончено. Всем огромное СПАСИБО за неоценимую помощь! Спасли конкурс "Педагог года"!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\application data\\ygmdrm.exe - Trojan.Win32.Pincav.ajvn ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Rimecud-G [Trj] )
      2. c:\\windows\\system32\\config\\systemprofile\\wuau cldt.exe - Backdoor.Win32.Agent.bdhm ( DrWEB: BackDoor.Bulknet.511, BitDefender: Trojan.Agent.AQJM, NOD32: Win32/Wigon.OL trojan, AVAST4: Win32:DNSChanger-ZZ [Trj] )
      3. c:\\windows\\system32\\drivers\\cdrom.sys - Virus.Win32.Protector.h ( DrWEB: BackDoor.Bulknet.508, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.N virus, AVAST4: Win32:Cutwail-AP [Rtk] )
      4. j:\\bmw\\sedistabela.exe - Trojan.Win32.Pincav.ajvn ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Rimecud-G [Trj] )


  • Уважаемый(ая) DVMin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. новый вирус
      От NikolayFirsov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.06.2009, 19:48
    2. Новый вирус
      От doctor_corbon в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 22.02.2009, 05:03
    3. Новый вирус?
      От alni в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.02.2009, 16:01
    4. Новый вирус?
      От AnteC в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.02.2008, 18:35
    5. Новый вирус ! / ?
      От Shark в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 02.02.2005, 23:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00822 seconds with 19 queries