При подключении к интернету, запускается winlogo.exe, который загружает систему на 100% + появляются дополнительные процессы iexplore.exe, 5.exe и т.п.
Printable View
При подключении к интернету, запускается winlogo.exe, который загружает систему на 100% + появляются дополнительные процессы iexplore.exe, 5.exe и т.п.
Уважаемый(ая) [B]Milini[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте AVZ 4.37, обновите его базы и переделайте логи
Вот новые логи:
avz.exe запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kv351095.dll','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winlogo.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winlogo.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\regsrv32.exe');
QuarantineFile('C:\WINDOWS\system32\vu351095.dll','');
QuarantineFile('C:\WINDOWS\system32\of151609.dll','');
QuarantineFile('C:\WINDOWS\system32\hu351095.dll','');
DeleteFile('C:\WINDOWS\system32\hu351095.dll');
DeleteFile('C:\WINDOWS\system32\of151609.dll');
DeleteFile('C:\WINDOWS\system32\vu351095.dll');
DeleteFile('C:\WINDOWS\system32\kv351095.dll');
QuarantineFile('c:\documents and settings\Администратор\application data\regsrv32.exe','');
DeleteFile('c:\documents and settings\Администратор\application data\regsrv32.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\winlogo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Regis-taation');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи (внимание: вместо лога HiJack сделайте лог [url]http://virusinfo.info/showthread.php?t=115256[/url])
Все выполнил, но winlogo.exe по прежнему запускается после подключения к интернету.
Новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Выполнил. Из наблюдений: вирус блокирует доступ к официальным сайтам антивирусов, если вовремя не "убить" процесс Winlogo.exe становится не возможным открыть любую программу (помогает перзагрузка системы). Переодически запускает установленный менеджер паролей Roboform.
В диспетчере задач находился левый процесс regsrv32.exe - удалил его. Размещался в C:\Documents and Settings\Администратор\Application Data, размер 64,5Кб и был создан 21.01.12. В этой же папке МВАМ нашел с десяток троянов.
Забыл главное..
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные процессы в памяти: 1
C:\Documents and Settings\Администратор\Application Data\regsrv32.exe (Trojan.Agent) -> 1568 -> Действие не было предпринято.
Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft DLL Registaation (Trojan.Agent) -> Параметры: C:\Documents and Settings\Администратор\Application Data\regsrv32.exe -> Действие не было предпринято.
Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
Обнаруженные файлы: 18
C:\Documents and Settings\Администратор\Application Data\regsrv32.exe (Trojan.Agent) -> Действие не было предпринято.
c:\documents and settings\администратор\application data\hrfvfc.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Рабочий стол\avz4\Infected\2012-01-21\avz00003.dta (Trojan.KillAV) -> Действие не было предпринято.[/code]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Удалил файлы в MBAM. Сделать лог в ComboFix не получается. Программа после запуска выдает предупреждение о том что найден запущенный антивирус AVG, хотя он уже давно удален. Удалил найденные ключи AVG в реестре - все равно не помогло. ComboFix выдает оповещение, что началось исследование системы, но потом ничего не происходит.
Периодически MBAM выдает оповещение о пойманной попытке подключения к вредоносному сайту. Также появились сообщения Windows, о том что файлы необходимые для ее стабильной работы были заменены.
Новые логи AVZ
[url]http://support.kaspersky.ru/faq/?qid=208636073[/url] - удаление следов AVG
Попробуйте сделать лог ComboFix в безопасном режиме
Спасибо за оказанную помощь. Проблема была решена установкой Kaspersky Krystal. Полная проверка системы показала наличие более 1500 зловредов. ;)
И за ссылочку спасибо - удалил следы. Проверку в ComboFix не выполнял, так как вроде бы в ней уже нет необходимости, и потому что она требует отключения антивируса - чего крайне не хочется делать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz.exe - [B]Virus.Win32.Sality.v[/B] ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:Sality )[*] c:\\documents and settings\\администратор\\application data\\regsrv32.exe - [B]Trojan.Win32.Jorik.Lethic.dv[/B] ( DrWEB: Trojan.DownLoad2.43630, BitDefender: Trojan.Generic.KDV.525055, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\9335~1\\locals~1\\temp\\winlogo.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.bik[/B] ( DrWEB: Tool.BtcMine.21, BitDefender: Application.BitCoinMiner.K, AVAST4: Win32:Downloader-MMG [Trj] )[*] c:\\windows\\system32\\hu351095.dll - [B]Trojan.Win32.KillAV.ni[/B] ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, AVAST4: Win32:Sality-GR )[*] c:\\windows\\system32\\kv351095.dll - [B]Trojan.Win32.KillAV.ni[/B] ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, AVAST4: Win32:Sality-GR )[*] c:\\windows\\system32\\of151609.dll - [B]Trojan.Win32.KillAV.ni[/B] ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, AVAST4: Win32:Sality-GR )[/LIST][/LIST]