Стал счастливым обладателем этого вируса... помогите пожалуйста...
Printable View
Стал счастливым обладателем этого вируса... помогите пожалуйста...
Уважаемый(ая) [B]DviK[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Здравствуйте.
Отключите:
-[B][COLOR="Red"]ПК от интернета[/COLOR][/B]
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\62.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe','');
QuarantineFile('C:\Documents and Settings\Двик\Application Data\Jwrwrf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\system32\72.exe','');
QuarantineFile('C:\WINDOWS\system32\18.exe','');
QuarantineFile('C:\WINDOWS\system32\bsysmgr.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\Documents and Settings\Двик\Application Data\Jwrwrf.exe');
DeleteFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('C:\WINDOWS\system32\bsysmgr.exe');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jwrwrf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pyrwrl');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Выполнил скрипт, и после перезагрузки никаких левых процессов не было... Но буквально через минуты 3-5 стали появляться процессы: 51.tmp 52.tmp 53 61, и так далее... Затем опять же скачались и jodrive32.exe и bsysmgr.exe... Так же запускаются и 62.exe (цифры не точные).
Сделал новый лог только что, уже с заново появившимся вирем... Процессы убивал вручную, они ваще avz вырубают сразу сами....
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\54.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\05.exe','');
BC_DeleteFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
BC_DeleteFile('C:\WINDOWS\jodrive32.exe');
BC_DeleteFile('C:\WINDOWS\system32\bsysmgr.exe');
BC_DeleteFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pyrwrl');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Сделал. Пока что никаких новых (левых) процессов не запускается... Сделал логи...
в реестре нашел имена этих вирусов в папке:
HKEY_USERS\S-1-5-21-73586283-1659004503-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache
Вот прям щас появился и тут же исчез процесс "58.exe"
Так же появился pyrwrl.exe, и всякие 5D.tmp, 5A.tmp, 5E.tmp
Ну и bsysmgr появился.... :dash1:
aadrive32 тоже тут как тут....
Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
не могу зайти на этот сайт, чтоб скачать... блокирует вирус... Так же невозможно зайти на сайты любых антивирусников (нод, каспер, дрвеб)
Попробуйте скачать [URL="http://www.filehippo.com/download_malwarebytes_anti_malware/download/faf2260570a753040d06fba3b4ddae95/"]отсюда[/URL].
Спасибо, скачал. Сделал быстрое сканирование.
УХ ёёёё.... зараженных файлов 206
:hang3::hang3::hang3:
удалять все что нашел??
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/code]
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Долго не мог зайти на сайт (Этот тоже стал блокался вирусом).
Вылечился cureit'ом, найдя вирус в semkhs.dll
в мбаме нажал вылечить все, (нужные файлы тоже)
Как только загружается система все нормально - но потом начинают опять открываться процессы цифра.exe и появляются в C:\WINDOWS\system32\88.exe
ну весь пакет этой заразы опять появился...
Сделайте новый лог MBAM.
Выгрузите все установленные P2P-клиенты.
Вычистил мбамом в безопасном режиме все. Но как тока захожу в обычном (или с поддежкой сетевых драйверов), вся фигня опять появляется... Причем появляется по ходу сканирования (пару раз даже вылетает, вирус закрывает походу).
Вот просканировал только что. Думаю, через минут 10 будет еще больше....
Вот еще просканил в безопасном режиме (вычещенным мбамом) avz'шкой
[B][COLOR="Red"]Отключите Ваш ПК от интернета[/COLOR][/B] и удалите все найденное в MBAM.
Червяк лезет через расшаренные папки и BitTorrent-клиенты.
Установите все обновления [URL="http://update.microsoft.com"]отсюда[/URL].
Удалил все найденное, обновил винду. Вроде нормально все. Поставил антивирь и фаервол...
процесс System иногда пытается куда-то лезть... Это и раньше замечал...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\двик\\application data\\jwrwrf.exe - [B]Backdoor.Win32.Ruskill.cwy[/B] ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, AVAST4: Win32:MalOb-EI [Cryp] )[*] c:\\documents and settings\\двик\\application data\\pyrwrl.exe - [B]Backdoor.Win32.Ruskill.lk[/B] ( DrWEB: Trojan.Packed.21761, BitDefender: Trojan.Generic.KDV.266660, AVAST4: Win32:MalOb-EI [Cryp] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Backdoor.Win32.Ruskill.lk[/B] ( DrWEB: Trojan.Packed.21761, BitDefender: Trojan.Generic.KDV.266660, AVAST4: Win32:MalOb-EI [Cryp] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan.Win32.Scar.edzy[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.271731, AVAST4: Win32:Slenugga [Trj] )[*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Trojan.Win32.Scar.edvh[/B] ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.KDV.270540, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Slenugga [Trj] )[*] c:\\windows\\aadrive32.exe - [B]Net-Worm.Win32.Kolab.aeff[/B] ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.6219191, AVAST4: Win32:Slenugga [Trj] )[*] c:\\windows\\jodrive32.exe - [B]Net-Worm.Win32.Kolab.aeen[/B] ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.6196066, AVAST4: Win32:Slenugga [Trj] )[*] c:\\windows\\system32\\bsysmgr.exe - [B]P2P-Worm.Win32.Palevo.drqu[/B] ( DrWEB: Trojan.AVKill.9382, BitDefender: Backdoor.Generic.668744, NOD32: Win32/TrojanClicker.VB.NUA trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\12.exe - [B]Backdoor.Win32.Floder.ach[/B] ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )[*] c:\\windows\\system32\\18.exe - [B]Backdoor.Win32.Floder.ach[/B] ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )[*] c:\\windows\\system32\\62.exe - [B]Backdoor.Win32.Floder.ach[/B] ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )[*] c:\\windows\\system32\\72.exe - [B]Backdoor.Win32.Floder.acj[/B] ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )[/LIST][/LIST]