wwwznv32.exe в автозагрузке

Printable View

17.07.2010, 23:36
Wings

wwwznv32.exe в автозагрузке

wwwznv32.exe застрял в автозагрузке, удалить его оттуда невозможно.
Так же процессы стали жрать много памяти, к примеру svchost.exe
Помогите удалить wwwznv32.exe, и что нибудь можно ли сделать с процессами, а то система висит
18.07.2010, 00:20
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\thumbs.db','');
QuarantineFile('D:\WINDOWS\system32\sqwbvl.exe','');
QuarantineFile('D:\WINDOWS\system32\abed618.exe','');
QuarantineFile('D:\Documents and Settings\Андрюха\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('D:\Documents and Settings\Андрюха\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('D:\WINDOWS\system32\abed618.exe');
DeleteFile('D:\WINDOWS\system32\sqwbvl.exe');
DeleteFile('D:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
18.07.2010, 10:20
Wings

Ок, сделал новые логи, скрипт выполнил
18.07.2010, 15:15
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
18.07.2010, 16:30
Wings

Сделал.
При сканировании был завершен процесс "pev.cfxxe"
Еще языковая панель пропала.
18.07.2010, 16:35
thyrex

Пуск - Выполнить - regedit

Ветку [CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Андрюха^Главное меню^Программы^Автозагрузка^wwwznv32.exe][/CODE]удалите вручную

Лог сделался не до конца. Сделайте новый
18.07.2010, 16:41
Wings

Сделаю, только теперь при загрузке у меня выходит выбор двух систем:
Microsoft Windows XP
и
Microsoft Windows XP Recovery Console
Recovery Console можно будет убрать?
18.07.2010, 16:58
Wings

сделал
18.07.2010, 20:17
thyrex

[QUOTE='Wings;672132']Recovery Console можно будет убрать?[/QUOTE]По завершению лечения

Похоже порядок

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
19.07.2010, 00:18
Wings

Теперь только одна беда - не могу выйти с этой системы на сайты virusinfo,не могу выйти на сайты антивирусов...
Сижу с другой системы.
19.07.2010, 08:32
polword

- Сделайте повторный лог virusinfo_syscheck.zip;
19.07.2010, 11:33
Wings

Сделал.
Также svchost стал гигабайт памяти грузить:(
19.07.2010, 12:39
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\WINDOWS\system32\cvcnhr.exe','');
QuarantineFile('D:\WINDOWS\system32\52e2452f.exe','');
DeleteFile('D:\WINDOWS\system32\52e2452f.exe');
DeleteFile('D:\WINDOWS\system32\cvcnhr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
19.07.2010, 13:24
Wings

Вот
19.07.2010, 13:48
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG9\avgssie.dll (file missing)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\WINDOWS\system32\ndamyv.exe','');
QuarantineFile('D:\WINDOWS\system32\vtandnd.exe','');
QuarantineFile('D:\WINDOWS\system32\djhwkbl.exe','');
QuarantineFile('D:\WINDOWS\system32\cvcnhr.exe','');
QuarantineFile('D:\WINDOWS\system32\52e2452f.exe','');
DeleteFile('D:\WINDOWS\system32\52e2452f.exe');
DeleteFile('D:\WINDOWS\system32\cvcnhr.exe');
DeleteFile('D:\WINDOWS\system32\ndamyv.exe');
DeleteFile('D:\WINDOWS\system32\vtandnd.exe');
DeleteFile('D:\WINDOWS\system32\djhwkbl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторные лог RSIT
19.07.2010, 14:13
Wings

На вирусинфо заходит.
Лог "info" в RSIT почему то не делается.
19.07.2010, 14:28
polword

Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
19.07.2010, 15:38
Wings

Вроде все, ересь изгнана.
Большое спасибо.
20.07.2010, 15:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\cvcnhr.exe - [B]Trojan.Win32.Jorik.Shiz.bq[/B] ( DrWEB: Trojan.PWS.Ibank.61 )[*] d:\windows\system32\djhwkbl.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWWc5vgi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] d:\windows\system32\ndamyv.exe - [B]Backdoor.Win32.Shiz.ms[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4547050, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] d:\windows\system32\vtandnd.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWWc5vgi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] d:\windows\system32\52e2452f.exe - [B]Trojan.Win32.Jorik.Shiz.bl[/B] ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]