-
Junior Member
- Вес репутации
- 53
Ужасно засорен вирусами комп, не могу сам разобраться
День добрый. Ужасно засорен комп, не могу сам разобраться. После соединения с инетом всплывает огромное количество exe-шников в темпори-инет-файлс и папках винды. В диспетчере куча левых процессов, автозагрузка заполняется вредоносными прогами. Пытаюсь почистить, но после соединения с инетом всё по новой.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключив интернет и антивирус, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-9724515893-0415341600-282225385-8738\csisd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8367224642-3087616023-392032373-6216\winmap.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6581154477-6822315360-778951188-0762\csidrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6466216467-4564479635-254848799-4816\winmap.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0672054244-0103798513-556296527-9061\winmap.exe','');
QuarantineFile('C:\Documents and Settings\Helgi\Application Data\oekx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4001890842-3201349090-666296166-6023\winmap.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4031183522-2803932820-157404565-8698\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9724515893-0415341600-282225385-8738\csisd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8367224642-3087616023-392032373-6216\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6581154477-6822315360-778951188-0762\csidrv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6466216467-4564479635-254848799-4816\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0672054244-0103798513-556296527-9061\winmap.exe');
DeleteFile('C:\Documents and Settings\Helgi\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4001890842-3201349090-666296166-6023\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4031183522-2803932820-157404565-8698\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\Documents and Settings\Helgi\Application Data\9722..exe');
DeleteFile('C:\Documents and Settings\Helgi\Local Settings\Temp\584.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\15FGXJSA\5[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FZK281KW\5[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\X0VA902I\9[1].exe');
DeleteFile('C:\Documents and Settings\Helgi\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\DOCUME~1\Helgi\LOCALS~1\Temp\68100.exe');
DeleteFile('C:\DOCUME~1\Helgi\LOCALS~1\Temp\88629.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94208).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо, скрипт выполнил, логи и карантин (Файл сохранён как101225_202212_virus_4d162844a991b.zipпароль virus) прикрепляю .
Из того, что осталось и беспокоит – заразка msvmiode.exe в system32 винды никак не хочет умирать. При подключении к инету лезут в виндовые папки левые exe-шники о чём постоянно кричит нод. Периодически выдается ошибка GenericHost Process for Win32. В процессах висит с полдюжины svchost.exe.
-
выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\42.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи + такой http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 53
Проделал всё вышеописанное, высылаю логи.
-
удалите все найденное мбам кроме
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
d:\Progi\Nero8110\nero8x.exe (RiskWare.Tool.CK) -> No action taken.
d:\Progi\Nero8110\nero8xkeygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\Progi\daemon\epidem.ru daemon tools pro v4.10.218.0 advanced\Crack.exe (Trojan.Agent) -> No action taken.
d:\Progi\small key finder 10.10.2009\SFkey.exe (Trojan.Dropper.PGen) -> No action taken.
d:\Progi\virtual cd\daemon.tools.pro.v4.10.218.0.advanced.russian\Patch\daemon.tools.pro.patch.exe (Trojan.Agent) -> No action taken.
d:\Progi\Winamp\keymaker.exe (Trojan.Downloader) -> No action taken.
d:\Progi\dvd ripper\Keygen\Keymaker.exe (Trojan.Downloader) -> No action taken.
d:\Progi\склейки-расклейки\fpsetup.exe (Adware.TMAagent) -> No action taken.
d:\Progi\adobe_acrobat_pro_7.0.8_full_rus\Rus\русификатор adobe acrobat 7.0.exe (Malware.Packer.Gen) -> No action taken.
g:\adobe.photoshop.cs5.extended.pc\adobe.photoshop.cs5.extended.v12.0.keymaker.exe (Malware.Packer.Gen) -> No action taken.
g:\4\downloads\sistema-pod4inenija\Book\sistema pod4inenija_www.cottoc.net.exe (Malware.Packer) -> No action taken.
g:\4\downloads\программы\fpsetup.exe (Adware.TMAagent) -> No action taken.
g:\3\!rulez!! crimson_193\crimsonland\crimsonland198.exe (Trojan.Bancos) -> No action taken.
g:\Robota\F1\Test\everest ultimate\Keygen\Keymaker.exe (Trojan.Downloader) -> No action taken.
g:\2\Rusanow\fantom cd 1.2.1.1960 - создание виртуальных cd дисков\fantomcd12119601\KEYGEN.EXE (Malware.Packer.Gen) -> No action taken.
h:\Guitar\softex.guitarpro.v5.2\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
i:\Xbox\CloneCD\rufull.ru.patch.slysoft.clonecd.5.3.1.4\patch_clonecd.exe (Malware.Packer.Gen) -> No action taken.
повторите логи
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Всё сделал. Высылаю логи.
-
-
-
Junior Member
- Вес репутации
- 53
Сделано. Высылаю лог gmer.
Из проблем на данный момент наблюдается – При подключении к инету нод начинает сразу кричать о блокирующихся адресах с которых на комп что-то пытается прибежать. Браузеры через пару минут подключения к инету перестают отображать страницы.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится hdut5tum.exe (gmer)
Код:
hdut5tum.exe -del service rbustafp
hdut5tum.exe -del file "C:\WINDOWS\system32\tintl.dll"
hdut5tum.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rbustafp"
hdut5tum.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rbustafp"
hdut5tum.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сделано. Высылаю лог gmer.
-
Еще раз логи АVZ и HiJack сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
QuarantineFile('C:\WINDOWS\piqxwie.exe','');
DeleteFile('C:\Documents and Settings\Helgi\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0045187752-2974444089-186628221-5219\csisd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
DeleteFile('C:\Documents and Settings\Helgi\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4220186174-2009541675-016783365-7396\svmgr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 53
Сделано. Лог Combofix прикрепляю.
Архив quarantine.zip прислать через ссылку "Прислать запрошенный карантин" не удается - выдается "Ошибка загрузки. Данный файл уже был загружен".
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\documents and settings\NetworkService\Application Data\dhurboa.exe
Driver::
rbustafp
NetSvc::
rbustafp
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6049:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 53
-
чисто
- Удалите ComboFix
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 53
Проблема решена. Спасибо большое.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\helgi\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.15037, BitDefender: Trojan.Generic.5644208, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\documents and settings\\helgi\\local settings\\temp\\584.exe - Trojan.Win32.Pincav.akli ( DrWEB: Trojan.Inject.13194, BitDefender: Trojan.Generic.KDV.64114, AVAST4: Win32:Trojan-gen )
- c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\j777lyjq\\4[1].exe - P2P-Worm.Win32.Palevo.bhyp ( DrWEB: Trojan.Inject.13205, BitDefender: Worm.Generic.286610, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\x0va902i\\9[1].exe - P2P-Worm.Win32.Palevo.bhyq ( DrWEB: Trojan.Inject.13209, BitDefender: Trojan.Generic.KDV.69615, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0022462690-2437873377-752169553-7503\\winmap.exe - P2P-Worm.Win32.Palevo.bhyq ( DrWEB: Trojan.Inject.13209, BitDefender: Trojan.Generic.KDV.69615, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan-Downloader.Win32.Injecter.eup ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5200286, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-3254683538-4507674558-866722143-7509\\winmap.exe - P2P-Worm.Win32.Palevo.bhyp ( DrWEB: Trojan.Inject.13205, BitDefender: Worm.Generic.286610, AVAST4: Win32:Malware-gen )
- c:\\system volume information\\_restore{e4614893-e164-41e7-9804-95580f8f035c}\\rp131\\a0031125.exe - Trojan.Win32.Pincav.akli ( DrWEB: Trojan.Inject.13194, BitDefender: Trojan.Generic.KDV.64114, AVAST4: Win32:Trojan-gen )
- c:\\system volume information\\_restore{e4614893-e164-41e7-9804-95580f8f035c}\\rp134\\a0031463.exe - P2P-Worm.Win32.Palevo.bhyq ( DrWEB: Trojan.Inject.13209, BitDefender: Trojan.Generic.KDV.69615, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\03.exe - P2P-Worm.Win32.Palevo.bhyp ( DrWEB: Trojan.Inject.13205, BitDefender: Worm.Generic.286610, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\11.exe - P2P-Worm.Win32.Palevo.azik ( DrWEB: Trojan.Inject.12221, BitDefender: Trojan.Generic.5314122, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] )
- c:\\windows\\system32\\16.exe - P2P-Worm.Win32.Palevo.biuo ( DrWEB: Trojan.Inject.15067, BitDefender: Trojan.Generic.KDV.77845, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\windows\\system32\\17.exe - P2P-Worm.Win32.Palevo.bkgt ( BitDefender: Trojan.Generic.KDV.74406, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\windows\\system32\\28.exe - P2P-Worm.Win32.Palevo.bigl ( DrWEB: Trojan.Inject.14046, BitDefender: Trojan.Generic.5129968, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\windows\\system32\\32.exe - P2P-Worm.Win32.Palevo.bbuo ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.5199043, AVAST4: Win32:MalOb-IE [Cryp] )
- c:\\windows\\system32\\44.exe - P2P-Worm.Win32.Palevo.bkgs ( BitDefender: Trojan.Generic.KDV.74406, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\windows\\system32\\52.exe - P2P-Worm.Win32.Palevo.biuo ( DrWEB: Trojan.Inject.15067, BitDefender: Trojan.Generic.KDV.77845, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\windows\\system32\\57.exe - P2P-Worm.Win32.Palevo.bgbu ( DrWEB: Trojan.MulDrop1.52100, BitDefender: Gen:Variant.Rimecud.5, AVAST4: Win32:MalOb-IE [Cryp] )
- c:\\windows\\system32\\60.exe - P2P-Worm.Win32.Palevo.azwn ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.57227, AVAST4: Win32:MalOb-IE [Cryp] )
- c:\\windows\\system32\\78.exe - P2P-Worm.Win32.Palevo.bgbu ( DrWEB: Trojan.MulDrop1.52100, BitDefender: Gen:Variant.Rimecud.5, AVAST4: Win32:MalOb-IE [Cryp] )
-