Постоянно активен хард и найден вирус
Доброго времени суток. Первым признаком наличия заразы предположительно выступал постоянно трещащий хард. Проверка VRT обнаружила Trojan-Dropper.Win32.Mudrop.izg в файле hmn.exe в пользовательской папке. В безопасном режиме двойным кликом не заходит на флэшку (с набором прог для проверки), пишет "F:\ Приложение не найдено", хотя при нормальной загрузке все в порядке.
Заранее благодарен за помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe',''); QuarantineFile('C:\Windows\system32\drivers\fgvwpfyn.sys',''); QuarantineFile('C:\Users\D18E~1\AppData\Local\Temp\syschange.exe',''); DeleteFile('C:\Users\D18E~1\AppData\Local\Temp\syschange.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Profiling'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\AppData\Local\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Application Data\Temp\420345.exe'); DeleteFile('C:\Users\Юля\Local Settings\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Application Data\Temp\420345.exe'); DeleteFile('C:\Documents and Settings\Юля\Local Settings\Temp\420345.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(19); RebootWindows(true); end.
Выполните скрипт в AVZ
c:\quarantine.zip отправьте через данную форму.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу [email protected]
Полученный ответ сообщите здесь (с указанием номера KLAN)
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил.
После перезагрузи при выполнении скрипта "лечения и карантина..." выскочило сообщение "Диспетчер очереди печати прекратило работу и было закрыто"
Новые логи:
Удалите в МВАМ все найденное и прикрепите новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все удалил:
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Понаблюдаю за подопытным, пока судить трудно - грузиться долго, хотя ничего лишнего толком не установлено, но это уже может быть следствием забитости системного диска. Будем приводить в порядок. Спасибо за помощь.
Добавлено через 1 час 23 минуты
Установил пробную версию антивируса AVG internet security, результат весьма неутешительный - 22 зараженных файла все в той же папке Temp
Код:"C:\Users\Юля\AppData\Local\Temp\tmp6bfca25547.exe";"Троянский конь Generic19.BEZV"; "C:\Users\Юля\AppData\Local\Temp\tmp4dc8a1869.exe";"Троянский конь Pakes.FYD"; "C:\Users\Юля\AppData\Local\Temp\tmp30aa27529.exe";"Троянский конь Pakes.FYN"; "C:\Users\Юля\AppData\Local\Temp\sofbwvhtbdxecrn.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\rxmbdms.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\qcqraxarlnvdxbo.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\pweskjna.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\occvbmotjmrxu.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\mdlybx.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\lnwbkwim.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\lisgzu.sys";"Троянский конь BackDoor.Generic12.BTEB" "C:\Users\Юля\AppData\Local\Temp\ihaoze.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\dqecbnkvenit.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\cyebrzvnpiwtbgx.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\ahzwhxplxqjbfi.sys";"Троянский конь BackDoor.Generic12.BTEB"; "C:\Users\Юля\AppData\Local\Temp\986.exe";"Троянский конь Cryptic.CEN"; "C:\Users\Юля\AppData\Local\Temp\67208.exe";"Определен вирус Worm/Generic.BKLH"; "C:\Users\Юля\AppData\Local\Temp\586.exe";"Найден вирус Pakes"; "C:\Users\Юля\AppData\Local\Temp\567.exe";"Троянский конь Generic18.UNW"; "C:\Users\Юля\AppData\Local\Temp\478.exe";"Троянский конь Cryptic.ABA"; "C:\Users\Юля\AppData\Local\Temp\389.exe";"Троянский конь Cryptic.CEN"; "C:\Users\Юля\AppData\Local\Temp\2714.exe";"Определен вирус Worm/Generic.BKLH";
Последний раз редактировалось Petrovi4; 27.02.2011 в 15:01. Причина: Добавлено
Эту папку очистите полностью.
Рекомендуется делать это раз в 2-3 месяца.
I am not young enough to know everything...
Уважаемый(ая) Petrovi4, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
