Доброе утро.
Подцепил вирус,svchost загружает ЦП на 99%.
Прошу вашей помощи.
Printable View
Доброе утро.
Подцепил вирус,svchost загружает ЦП на 99%.
Прошу вашей помощи.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Профиксите в HijackThis что останется
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O4 - Startup: wwwznv32.exe
[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Файл сохранён как 100720_112916_quarantine_4c45504c82bf4.zip
Размер файла 58817
MD5 eaa5d6f96b9a612dd69211b7748fc5db
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '05.05.2010', '20.07.2010');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Файл сохранён как 100720_122159_quarantine_4c455ca77bf2c.zip
Размер файла 15719463
MD5 fbc0bc5d3f5b21837d248c436aede692
Карантин загрузил, но с Combofix'ом проблема, после его работы, примерно через 5-10 минут, компьютер выдал синий экран.
попробуйте сделать лог еще раз
Снова синий экран.
1. Пуск - Выполнить - regedit
Ветку
[QUOTE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^wwwznv32.exe][/QUOTE]
удалите вручную
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\ijt3Pwg.exe');
DeleteFile('C:\WINDOWS\system32\bWWkGjf.exe');
DeleteFile('C:\WINDOWS\system32\3N70lyW.exe');
DeleteFile('C:\WINDOWS\system32\FSRPM0I.exe');
DeleteFile('C:\WINDOWS\system32\lucQsUQ.exe');
DeleteFile('C:\WINDOWS\system32\PfQmnrv.exe');
DeleteFile('C:\WINDOWS\system32\WFLgqXJ.exe');
DeleteFile('C:\WINDOWS\system32\zmj4OXq.exe');
DeleteFile('C:\WINDOWS\system32\ZfB6c3l.exe');
DeleteFile('C:\WINDOWS\system32\r50KdrK.exe');
DeleteFile('C:\WINDOWS\system32\Y806Jwr.exe');
DeleteFile('C:\WINDOWS\system32\ZdW6oU0.exe');
DeleteFile('C:\WINDOWS\system32\yqtCIQY.exe');
DeleteFile('C:\WINDOWS\system32\SFOQcn7.exe');
DeleteFile('C:\WINDOWS\system32\Yu49rWu.exe');
DeleteFile('C:\WINDOWS\system32\Yk6sKQX.exe');
DeleteFile('C:\WINDOWS\system32\ZpPXBqM.exe');
DeleteFile('C:\WINDOWS\system32\WjzFsjB.exe');
DeleteFile('C:\WINDOWS\system32\PYEYjxE.exe');
DeleteFile('C:\WINDOWS\system32\yHT7Afa.exe');
DeleteFile('C:\WINDOWS\system32\QutNX2F.exe');
DeleteFile('C:\WINDOWS\system32\XOsRmh0.exe');
DeleteFile('C:\WINDOWS\system32\t89yHQH.exe');
DeleteFile('C:\WINDOWS\system32\QIsZ1og.exe');
DeleteFile('C:\WINDOWS\system32\nPte5UB.exe');
DeleteFile('C:\WINDOWS\system32\xKYLBIJ.exe');
DeleteFile('C:\WINDOWS\system32\uhYWLes.exe');
DeleteFile('C:\WINDOWS\system32\zNSxCVF.exe');
DeleteFile('C:\WINDOWS\system32\qStIHQg.exe');
DeleteFile('C:\WINDOWS\system32\UqRGYDm.exe');
DeleteFile('C:\WINDOWS\system32\rGVSzho.exe');
DeleteFile('C:\WINDOWS\system32\tVoSmJO.exe');
DeleteFile('C:\WINDOWS\system32\uhLWP6G.exe');
DeleteFile('C:\WINDOWS\system32\wbrjsTU.exe');
DeleteFile('C:\WINDOWS\system32\Qi7duwq.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
Сделал.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
и еще выполните такой скрипт в AVZ:
[CODE]begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\', 'wwwznv32');
end.[/CODE]
Файл wwwznv32_************.reg из папки AVZ\Backup\...\ приложите в теме.
Сделал
Не могу приложить файл wwwznv32_************.reg
Не получается загрузить.Сейчас попробую еще раз.
[QUOTE=polword;673309]выполните такой скрипт в AVZ:
[CODE]begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\', 'wwwznv32');
end.[/CODE]Файл wwwznv32_************.reg из папки AVZ\Backup\...\ приложите в теме.[/QUOTE]
вот это сделайте
Вот, получилось :)
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Синий экран.
[QUOTE]Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение.[/QUOTE]
делали?
Делал.Выключал все что было указано
[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]
В чем может быть проблема?
давайте так попробуем
удалите файл
[QUOTE]C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe[/QUOTE]
с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword[/URL]
- перезагрузитесь.
- Сделайте повторный лог virusinfo_syscheck.zip;
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написал хелпер.
Объясните, пожалуйста,что такое руткит?
ваш руткит - C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe
Путь указан на русском.
В программе IceSword только английские пути.
Никаких русских папок в программе невижу.
попробуйте сделать лог Combofix в безопасном режиме
Получилось.
чисто
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Теперь вместо svchost.exe загружает ЦП "Бездействие системы" тоже на 99%.
Так должно быть?
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
Часто используемые уязвимости не обнаружены
Спасибо большое :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe - [B]Packed.Win32.Krap.ao[/B][*] c:\windows\system32\bwwkgjf.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\fsrpm0i.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\ijt3pwg.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\lucqsuq.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWWc5vgi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\pfqmnrv.exe - [B]Trojan.Win32.Jorik.Shiz.bd[/B] ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\r50kdrk.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )[*] c:\windows\system32\sfoqcn7.exe - [B]Backdoor.Win32.Shiz.jv[/B] ( DrWEB: Trojan.PWS.Ibank.53 )[*] c:\windows\system32\wflgqxj.exe - [B]Trojan.Win32.Jorik.Shiz.az[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\yk6skqx.exe - [B]Trojan.Win32.Jorik.Shiz.ai[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a49YlJii, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\yqtciqy.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\yu49rwu.exe - [B]Backdoor.Win32.Shiz.jz[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407245, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\y806jwr.exe - [B]Backdoor.Win32.Shiz.kd[/B] ( DrWEB: Trojan.Siggen1.63801, NOD32: Win32/Spy.Shiz.NAL trojan )[*] c:\windows\system32\zdw6ou0.exe - [B]Backdoor.Win32.Shiz.kd[/B] ( DrWEB: Trojan.Siggen1.63801, NOD32: Win32/Spy.Shiz.NAL trojan )[*] c:\windows\system32\zfb6c3l.exe - [B]Backdoor.Win32.Shiz.kr[/B] ( DrWEB: Trojan.PWS.Ibank.53 )[*] c:\windows\system32\zmj4oxq.exe - [B]Backdoor.Win32.Shiz.ky[/B] ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\3n70lyw.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )[/LIST][/LIST]