Antivir информирует о нахождении вирусов в папке Local Settings\Temp\NS8 и др., вроде бы удаляет, но видимо удаляет не все, потому что после перезагрузки PC происходит тоже самое.
Antivir информирует о нахождении вирусов в папке Local Settings\Temp\NS8 и др., вроде бы удаляет, но видимо удаляет не все, потому что после перезагрузки PC происходит тоже самое.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\setup\svchost.exe'); QuarantineFile('c:\windows\system32\setup\svchost.exe',''); TerminateProcessByName('c:\windows\system32\wuaucldt.exe'); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('c:\documents and settings\anton\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\msxslt3.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); DeleteFile('c:\windows\system32\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\msxslt3.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('c:\documents and settings\anton\wuaucldt.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Спасибо за оперативность, проблема исчезла.
Не торопитесь уходить. Ждём результатов карантина.
Все скрипты выполнил, карантин отправил, но радовался и правда зря.
Вчера вроде бы все было чисто, и Антивир уже нечего не детектировал.
Сегодня решил сделать повторные логи, запустил AVZ на сканирование и открыл браузер. Через некоторое время пропал интернет и в браузере перестали открываться новые вкладки. Дальше еще хуже - перестали запускаться все программы начиная от Total Commander с диспетчером задач и заканчивая блокнотом. Хорошо что AVZ раннее был открыт. Запустил из AVZ диспетчер процессов - завершил левый svchost.exe, который вчера пытались удалить. Прошелся по встроенным менеджерам AVZ (автозапуска, расширений, служб и драйверов и др.) и удалил все подозрительные объекты. Единственное что не получилось вручную удалить это logonuiX.exe и psxss.exe, оба в папке system32. Перезагрузил компьютер - программы заработали.
Видимо причина изначально была в svchost.exe, поскольку при загрузке системы выскакивает окошко удаленного доступа для подключения к интернету. К сожалению не придал этому значения. Выкладываю новые логи.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('svchost32', 4); DeleteService('svchost32'); TerminateProcessByName('c:\windows\system32\setup\svchost.exe'); DeleteFile('c:\windows\system32\setup\svchost.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-57989841-1004336348-725345543-1004\Dc474\Quarantine\2009-03-18\avz00001.dta'); DeleteFile('C:\RECYCLER\S-1-5-21-57989841-1004336348-725345543-1004\Dc474\Quarantine\2009-06-09\avz00101.dta'); DeleteFile('C:\RECYCLER\S-1-5-21-57989841-1004336348-725345543-1004\Dc474\Quarantine\2009-06-25\avz00001.dta'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
К сожалению не помогло. Провел проверку с помощью утилиты CureIT - нечего не нашла. Такой вопрос: это нормально если в встроенном в AVZ менеджере внедренных DLL в описании к 6 файлам значится "Подозрение на Keyloger или троянскую DLL"?
Вот новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Удалите в МВАМКод:Заражённые файлы: c:\avz4.35\avz4\quarantine\2010-12-03\avz00002.dta (Trojan.Downloader) -> No action taken. c:\avz4.35\avz4\quarantine\2010-12-03\avz00003.dta (Trojan.Downloader) -> No action taken. c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\F4C51XKM\1[1].exe (Trojan.Downloader) -> No action taken. c:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил в MBAM.
До этого вручную удалил svchost.jxe, так как скриптом не удалилось, видимо потому что расширение у него было не exe а jxe.
Заметил что в папке C:\Documents and Settings\ появились новые папки с файлами, которых раньше не было: LocalService.NT AUTHORITY и NetworkService.NT AUTHORITY. Проверил на другом PC - таких папок там нет. Все они созданны с 4 по 6 ноября - когда и появились проблемы. Через файл-менеджер не удаляются.
Не трогайте эти папки. Они используются системой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал полную проверку Касперским - 4 файла в карантине. Программы запускаются, но подключение удаленного доступа все равно переодически выскакивает. Какие еще будут идеи?
Обновления для системы все установлены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Service Pack 3, единственное что за последнюю неделю не обновлялся. Сейчас не могу включить автоматическое обновление, не через Систему ни через Центр обеспечения безопасности. Попросту не могу выбрать не чего.
Касперским провел поиск уязвимостей в системе, установил все рекомендуемые обновления кроме Apache 2.2. До него еще не добрался.
На карантине в Касперском 4 файла - и в примечании к файлам указано "Неизвестная угроза", может быть их нужно удалить или это не на что не влияет?
Ситуация безнадежна, или можно попробывать еще что то сделать?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\msxslt3.exe - Trojan.Win32.VBKrypt.agtn ( DrWEB: Trojan.DownLoader1.39445, BitDefender: Trojan.Generic.5997941, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\setup\\svchost.exe - Trojan.Win32.KillAV.hex ( DrWEB: Trojan.Proxy.18523, BitDefender: Gen:Variant.Kazy.2468, AVAST4: Win32:MalOb-CK [Cryp] )
- c:\\windows\\system32\\wuaucldt.exe - Backdoor.Win32.Bifrose.djei ( DrWEB: BackDoor.Bulknet.510, BitDefender: Gen:Variant.Strictor.849, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Milini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.