Printable View
Доброго времени суток!
Eplorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск. Сканирование AVZ показало, что explorer.exe вызывает какойто опасный поток в NTFS или чтото типа того, вообщем явно не все тут чисто. NOD32 проблем не обнаруживает.
Помогите пожалуйста разобраться!
p.s. файл VirtP.bat в автозагрузке свой, хороший.
1. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [DRam prosessor] winupdate.exe
O4 - HKLM\..\RunServices: [DRam prosessor] winupdate.exe
[/code]
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:submitter5.jpg:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:submitter5.jpg','');
QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\explorer.exe:mian.nest:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:submitter5.jpg:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:mian.nest');
DeleteFile('C:\WINDOWS\explorer.exe:submitter5.jpg');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. AVZ - Сервис - Поиск файлов на диске, поищите [b]winupdate.exe[/b], добавьте в карантин.
4. Пришлите весь карантин согласно приложению 3 правил.
5. Сделайте новые логи.
winupdate.exe не найден.
Карантин послан.
Логи прилагаются.
В логах все нормально.
Какие-нибудь проблемы остались?
Программа C:\WinNER\cup.exe вам знакома?
C:\WinNER\cup.exe знакома.
А что такое:
[quote]
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, все события
2. Определяет PID текущего процесса
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
[/quote]
?
Проблем вроде бы не осталось, спасибо большое!
Это файлы от драйвера nVidia, ничего плохого.
Понял. Хорошо. Спасибо тебе большое, Братец!:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\explorer.exe:mian.nest - [B]Backdoor.Win32.Agent.dqd[/B] (DrWEB: BackDoor.Mian)[*] c:\\windows\\explorer.exe:mian.nest:$data - [B]Backdoor.Win32.Agent.dqd[/B] (DrWEB: BackDoor.Mian)[*] c:\\windows\\explorer.exe:submitter5.jpg - [B]Trojan-Banker.Win32.Banker.hbo[/B] (DrWEB: Trojan.PWS.Banker.14622)[*] c:\\windows\\explorer.exe:submitter5.jpg:$data - [B]Trojan-Banker.Win32.Banker.hbo[/B] (DrWEB: Trojan.PWS.Banker.14622)[/LIST][/LIST]