Здраствуйте,
полдня уже убил на колдовство с этим bubnix.au
NOD32 выдает периодически предупреждения об опасности этой гадостью + загрузка на 30- 50% ядер компа (Quad 9450).
Система SP3. Сборка ZverDVD.
Благодарен буду за помощь.
Printable View
Здраствуйте,
полдня уже убил на колдовство с этим bubnix.au
NOD32 выдает периодически предупреждения об опасности этой гадостью + загрузка на 30- 50% ядер компа (Quad 9450).
Система SP3. Сборка ZverDVD.
Благодарен буду за помощь.
Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MYSECR~1\MSFH32.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить + сделать лог GMER.
Карантин отправил.
Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]mvbsoyz[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ в [B]безопасном режиме[/B]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\mvbsoyz.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\mvbsoyz.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mvbsoyz');
BC_DeleteSvcReg('mvbsoyz');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи в [B]обычном режиме[/B]
Карантин отправил. Остальное сделал по инструкции.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteService('Nups');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Карантин отправил. После предпоследнего, так и после последнего скрипта - после загрузки винды минуты 4 комп почти висит, не отвечает на команды. Загрузка до 50% всех четырех ядер. Через минуты 4 загрузка ядер падает уже в норму 0 - 1%.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Просканировал.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\василий лычковский (сост.) - о мастурбации мозга, или как управляют нашим сознанием.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\василий лычковский (сост.) как управляют нашим сознанием.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{82184935-b894-4ab2-8590-603ba7d74b71} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_NUPS (Backdoor.Agent) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.[/CODE]
Удалил.
Что с проблемой?
Специально не писал сразу. Пару дней откатываю комп во всех режимах. Вроде, 3 раза тьфу, всё пока ОК. Как бы там ни было особый респект и поклон за помощь.
Очень благодарен. Думаю если зараза не вылезла сразу, то уже и не вылезет. Спасибо еще раз.
Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.
Спасибо. Всё скачал, установил, обновил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sysrda32.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Ursnif.20, AVAST4: Win32:Crypt-HQC [Drp] )[*] c:\\windows\\system32\\drivers\\mvbsoyz.sys - [B]Rootkit.Win32.Bubnix.amp[/B] ( DrWEB: Trojan.NtRootKit.9437, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )[/LIST][/LIST]