Заметил что дня 2 назад очень стал медленно работать интернет и появляются процессы Google.exe , Wmiprvse.exe
находил вирус Trojan-Downloader.Win32.Dadobra.flw
Printable View
Заметил что дня 2 назад очень стал медленно работать интернет и появляются процессы Google.exe , Wmiprvse.exe
находил вирус Trojan-Downloader.Win32.Dadobra.flw
Уважаемый(ая) [B]uran14[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('M:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('L:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('K:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('J:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('I:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('H:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('G:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('F:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('E:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFile('C:\WINDOWS\system32\hls\Helper.exe','');
QuarantineFile('C:\WINDOWS\system32\hlm\start.cmd','');
QuarantineFileF('C:\WINDOWS\system32\hlm', '*.*', false,'', 0, 0);
DeleteFile('M:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('L:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('K:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('J:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('I:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('H:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('G:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('F:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('E:\WINDOWS\system32\hlm\start.cmd');
DeleteFile('C:\WINDOWS\system32\hlm\start.cmd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg5');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg6');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg8');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg9');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg10');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Вот логи,Карантин вроде дошёл.
Пока под вопросом остается файл C:\WINDOWS\system32\hls\Helper.exe
C:\Documents and Settings\DOM\Joker\JokerLoader.js - что за скрипт Вам известно?
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteFile('C:\WINDOWS\system32\hlm\google.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Нет даже незнаю что это за скрипт.. когда захожу там даже такой папки нет..(скрытое показывает)
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\Documents and Settings\DOM\Joker\JokerLoader.js');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JokerLoader');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Что с проблемой?
Вроде по прежнему всё так же. вот заметил 2 одинаковых процесса wmiprvse.exe один System Другой Network Service
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
вот вроде оно..
D:\Программы\Winrar 4.65 (Crack + Rus)\Winrar 4.65 Full.exe - где это Вы такую версию архиватора наши? :)
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 3
HKLM\SYSTEM\CurrentControlSet\Services\Helper (Trojan.Downloader) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_DRVFLTIP (Rogue.UnVirex) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\DrvFltIp (Rogue.UnVirex) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Fix Core OTP (Trojan.Downloader) -> Параметры: C:\WINDOWS\system32\hls\Helper.exe -> Действие не было предпринято.
Объекты реестра обнаружены: 2
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Плохо: ("regedit.exe" "%1") Хорошо: (regedit.exe "%1") -> Действие не было предпринято.
Обнаруженные папки: 4
C:\WINDOWS\system32\hlm (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Advanced (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Bans (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы: 65
C:\WINDOWS\system32\hls\Helper.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\DOM\Рабочий стол\Новая папка (11)\avz4\Infected\2012-01-23\avz00001.dta (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\system32\hls\srvhls.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\System Volume Information\_restore{EE621DF8-AAC2-4F9F-82D8-E8B959F1119E}\RP290\A0165163.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\System Volume Information\_restore{EE621DF8-AAC2-4F9F-82D8-E8B959F1119E}\RP290\A0165167.exe (HackTool.GamesCheat.Gen) -> Действие не было предпринято.
D:\Программы\Winrar 4.65 (Crack + Rus)\Winrar 4.65 Full.exe (Spyware.Agent) -> Действие не было предпринято.
C:\Documents and Settings\DOM\Joker\Joker.bat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\DOM\Joker\pic.ico (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\DOM\Joker\picture.jpg (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\config.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\msg.bat (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\clcmds.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\ctext.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\gamenames.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\hostnames.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\mappings.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\maps.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\packets.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\players.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\redirect.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\rules.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\slist.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Advanced\masters.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Bans\ipranges.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Bans\ips.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Bans\nicknames.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hlm\Config\Bans\packets.txt (Trojan.Agent) -> Действие не было предпринято.[/code]
Да незнаю даже где нашёл..Старые файлы))
Вот лог.
[quote="uran14;861038"]Да незнаю даже где нашёл[/quote]На дданный момент актуальная версия 4.10
А у Вас прям 4.65 )))
Что с проблемой? В логах больше ничего странного
НУ комп сам по себе стал лучше работать,во много лучше.. Но интернет чтото так же.. буду значит искать причину в чём то другом.. Из того что вы у меня обнаружили было ли что либо серьёзное? что угрожало компу?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\hlm\\google.exe - [B]Trojan-Downloader.Win32.Dadobra.flw[/B] ( DrWEB: Trojan.DownLoader5.37701, AVAST4: Win32:HLProxy-A [Trj] )[/LIST][/LIST]