Добрый день. При очередной проверке (раз в неделю) NOD нашёл несколько троянов. Некоторые из них он удалить не смог. Посмотрите, пожалуйста, логи...
Printable View
Добрый день. При очередной проверке (раз в неделю) NOD нашёл несколько троянов. Некоторые из них он удалить не смог. Посмотрите, пожалуйста, логи...
Выполните скрипт в AVZ (в [B]безопасном[/B] режиме)
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('\\?\globalroot\systemroot\system32\oCeG9Bk.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\btiWC65.exe','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DeleteFile('\\?\globalroot\systemroot\system32\btiWC65.exe');
DeleteFile('\\?\globalroot\systemroot\system32\oCeG9Bk.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи (в [B]нормальном[/B] режиме)
Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Карантин выслал:
----------------
Файл сохранён как 100805_134731_virus_4c5a88b3b3996.zip
Размер файла 363430
MD5 ecb562743358cd9ed6bdf5a90966d809
----------------
Теперь при загрузке ПК процесс svchost.exe грузит CPU на 100%. При закрытии этого процесса, система аварийно завершает свою работу в течении 59 секунд.
Помогает только "shutdown -a"...
Вот новые логи:
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('%System32%\sfcfiles.dll','');
QuarantineFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe');
QuarantineFile('C:\WINDOWS\system32\UsKmQtf.exe','');
DeleteFile('C:\WINDOWS\system32\UsKmQtf.exe');
QuarantineFile('C:\WINDOWS\system32\72WitOH.exe','');
DeleteFile('C:\WINDOWS\system32\72WitOH.exe');
QuarantineFile('C:\WINDOWS\system32\NZNDOyv.exe','');
DeleteFile('C:\WINDOWS\system32\NZNDOyv.exe');
QuarantineFile('C:\WINDOWS\system32\3ZmCCuF.exe','');
DeleteFile('C:\WINDOWS\system32\3ZmCCuF.exe');
QuarantineFile('C:\WINDOWS\system32\mmygpf.exe','');
QuarantineFile('C:\WINDOWS\system32\77d4449d.exe','');
DeleteFile('C:\WINDOWS\system32\77d4449d.exe');
QuarantineFile('C:\WINDOWS\system32\KT4fsXU.exe','');
DeleteFile('C:\WINDOWS\system32\KT4fsXU.exe');
QuarantineFile('C:\WINDOWS\system32\k3FR1Jj.exe','');
QuarantineFile('C:\WINDOWS\system32\SnwWqfp.exe','');
QuarantineFile('C:\WINDOWS\system32\Aqc62PW.exe','');
QuarantineFile('C:\WINDOWS\system32\fYSS314.exe','');
QuarantineFile('C:\WINDOWS\system32\1Xn6E5V.exe','');
QuarantineFile('C:\WINDOWS\system32\GmXif8O.exe','');
QuarantineFile('C:\WINDOWS\system32\NHIXFKl.exe','');
QuarantineFile('C:\WINDOWS\etpoun.EXE','');
QuarantineFile('C:\WINDOWS\system32\mjcbibp.exe','');
QuarantineFile('C:\WINDOWS\system32\Mg32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\mgnt.sys','');
QuarantineFile('C:\WINDOWS\system32\ZbIvLES.exe','');
QuarantineFile('C:\WINDOWS\system32\aqhOgXR.exe','');
QuarantineFile('C:\WINDOWS\system32\FgK8o7w.exe','');
QuarantineFile('C:\WINDOWS\system32\xvifsX0.exe','');
QuarantineFile('C:\WINDOWS\system32\1OKNYnO.exe','');
QuarantineFile('C:\WINDOWS\system32\hbzQQbJ.exe','');
QuarantineFile('C:\WINDOWS\system32\rVWIIAe.exe','');
QuarantineFile('C:\WINDOWS\system32\Pbr6lNP.exe','');
QuarantineFile('C:\WINDOWS\system32\jXNKoF0.exe','');
QuarantineFile('C:\WINDOWS\system32\juJtybh.exe','');
QuarantineFile('C:\WINDOWS\system32\F4gMWKN.exe','');
QuarantineFile('C:\WINDOWS\system32\f1uihwi.exe','');
QuarantineFile('C:\WINDOWS\system32\t8QcRWC.exe','');
QuarantineFile('C:\WINDOWS\system32\9ua7Cfs.exe','');
QuarantineFile('C:\WINDOWS\system32\6DwF2wA.exe','');
QuarantineFile('C:\WINDOWS\system32\8Oeb2BE.exe','');
QuarantineFile('C:\WINDOWS\system32\9XveHBt.exe','');
QuarantineFile('C:\WINDOWS\system32\Bxx4pnQ.exe','');
QuarantineFile('C:\WINDOWS\system32\b0O4pla.exe','');
QuarantineFile('C:\WINDOWS\system32\kVTscWi.exe','');
QuarantineFile('C:\WINDOWS\system32\pkNg7pX.exe','');
QuarantineFile('C:\WINDOWS\system32\QoH4EhO.exe','');
QuarantineFile('C:\WINDOWS\system32\Qxbxkuq.exe','');
QuarantineFile('C:\WINDOWS\system32\cu98r1W.exe','');
QuarantineFile('C:\WINDOWS\system32\vUIddQj.exe','');
QuarantineFile('C:\WINDOWS\system32\fRxYlJN.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
А также сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Карантин выслал.
Вот новый лог...
Что касается комбофикса, то он вроде отрабатывает, но лог пустой.
Запустите ComboFix еще раз и дождитесь окончания его работы (об этом появится соответствующая надпись)
С комбофиксом проблемы...
Отрабатывает до стадии 7, потом ничего не происходит. Ждал 12 часов, запустил по-новой - тоже самое.
АВЗ снова нашёл вирусы.
Этот сайт (vitusinfo.info) не открывается, и базы avz не обновляются, пока не запустишь route -f
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\6880a4ed.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\srwvuh.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\srwvuh.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system32\6880a4ed.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Карантин выслал.
Вот новые логи:
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\atvudz.exe','');
QuarantineFile('C:\WINDOWS\system32\mmygpf.exe','');
QuarantineFile('C:\WINDOWS\system32\fYSS314.exe','');
QuarantineFile('C:\WINDOWS\etpoun.EXE','');
QuarantineFile('C:\WINDOWS\system32\FgK8o7w.exe','');
QuarantineFile('C:\WINDOWS\system32\xvifsX0.exe','');
QuarantineFile('C:\WINDOWS\system32\hbzQQbJ.exe','');
QuarantineFile('C:\WINDOWS\system32\rVWIIAe.exe','');
QuarantineFile('C:\WINDOWS\system32\juJtybh.exe','');
QuarantineFile('C:\WINDOWS\system32\F4gMWKN.exe','');
QuarantineFile('C:\WINDOWS\system32\f1uihwi.exe','');
QuarantineFile('C:\WINDOWS\system32\t8QcRWC.exe','');
QuarantineFile('C:\WINDOWS\system32\Bxx4pnQ.exe','');
QuarantineFile('C:\WINDOWS\system32\b0O4pla.exe','');
QuarantineFile('C:\WINDOWS\system32\kVTscWi.exe','');
QuarantineFile('C:\WINDOWS\system32\pkNg7pX.exe','');
QuarantineFile('C:\WINDOWS\system32\Qxbxkuq.exe','');
QuarantineFile('C:\WINDOWS\system32\cu98r1W.exe','');
QuarantineFile('C:\WINDOWS\system32\vUIddQj.exe','');
QuarantineFile('C:\WINDOWS\system32\fRxYlJN.exe','');
DeleteFile('C:\WINDOWS\system32\fRxYlJN.exe');
DeleteFile('C:\WINDOWS\system32\vUIddQj.exe');
DeleteFile('C:\WINDOWS\system32\cu98r1W.exe');
DeleteFile('C:\WINDOWS\system32\Qxbxkuq.exe');
DeleteFile('C:\WINDOWS\system32\pkNg7pX.exe');
DeleteFile('C:\WINDOWS\system32\kVTscWi.exe');
DeleteFile('C:\WINDOWS\system32\b0O4pla.exe');
DeleteFile('C:\WINDOWS\system32\Bxx4pnQ.exe');
DeleteFile('C:\WINDOWS\system32\t8QcRWC.exe');
DeleteFile('C:\WINDOWS\system32\f1uihwi.exe');
DeleteFile('C:\WINDOWS\system32\F4gMWKN.exe');
DeleteFile('C:\WINDOWS\system32\juJtybh.exe');
DeleteFile('C:\WINDOWS\system32\rVWIIAe.exe');
DeleteFile('C:\WINDOWS\system32\hbzQQbJ.exe');
DeleteFile('C:\WINDOWS\system32\xvifsX0.exe');
DeleteFile('C:\WINDOWS\system32\FgK8o7w.exe');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DeleteFile('C:\WINDOWS\system32\fYSS314.exe');
DeleteFile('C:\WINDOWS\system32\mmygpf.exe');
DeleteFile('C:\WINDOWS\system32\atvudz.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Папки C:\Program Files\Common Files\wm и C:\WINDOWS\system32\lowsec удалите вручную
Сделайте новые логи RSIT + лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]МВАМ[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\сурков\главное меню\программы\автозагрузка\monoca32.exe - [B]Trojan-Ransom.Win32.DigiPog.wi[/B] ( DrWEB: Trojan.DownLoad2.14900, BitDefender: Gen:Trojan.Heur.FU.bC0@a84oropi, AVAST4: Win32:Crypt-HCS [Drp] )[*] c:\windows\system32\aqc62pw.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\nzndoyv.exe - [B]Backdoor.Win32.Shiz.pc[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.TP.gq0@bSz3B4ni, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.biit[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@aKHavpc, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\sidebar32.exe - [B]Trojan-Spy.Win32.BZub.iad[/B] ( DrWEB: Trojan.PWS.Ibank.77, BitDefender: Gen:Trojan.Heur.RP.gmW@aq84WXn )[*] c:\windows\system32\snwwqfp.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wininet.exe - [B]Trojan-Spy.Win32.Zbot.amyu[/B] ( DrWEB: Trojan.MulDrop1.25484 )[*] c:\windows\system32\zbivles.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771 )[*] c:\windows\system32\72witoh.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.Krypt.19, AVAST4: Win32:Malware-gen )[*] \\?\globalroot\systemroot\system32\oceg9bk.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gu0@aiW5r3gi )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]