Вирус блокирует жёсткие диски
Обнаружил, что жесткие диски сделаны сетевыми и заблокирована корзина и удаление с этих дисков. ComboFix что-то находит, но не помогает. Правда позволил разблокировать удаление на дисках. Диск Е вообще не виден снаружи - пробовал DrwebLiveUSB. Работает и зависает. После принудительной перезагрузки рушатся каталоги и винда запускает проверку диска. Ни Дрвеб ни касперский не помогают также.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится.Code:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\TEMP\TF.exe',''); QuarantineFile('C:\WINDOWS\TEMP\VTLFBAVIVW.exe',''); QuarantineFile('C:\WINDOWS\TEMP\WQDQMDEDI.exe',''); DeleteService('WQDQMDEDI'); DeleteService('VTLFBAVIVW'); DeleteService('TF'); QuarantineFile('C:\WINDOWS\TEMP\RHVVJVFZPU.exe',''); QuarantineFile('C:\WINDOWS\TEMP\RBEVA.exe',''); QuarantineFile('C:\WINDOWS\TEMP\PJJSVAZC.exe',''); QuarantineFile('C:\WINDOWS\TEMP\NSYBIUQOL.exe',''); DeleteService('NSYBIUQOL'); DeleteService('PJJSVAZC'); DeleteService('RBEVA'); DeleteService('RHVVJVFZPU'); QuarantineFile('C:\WINDOWS\TEMP\MNCNIZEEDI.exe',''); QuarantineFile('C:\WINDOWS\TEMP\COOPLRRC.exe',''); QuarantineFile('C:\WINDOWS\TEMP\CMKOXYM.exe',''); QuarantineFile('C:\WINDOWS\TEMP\CCSCKEHZP.exe',''); DeleteService('CCSCKEHZP'); DeleteService('CMKOXYM'); DeleteService('COOPLRRC'); DeleteService('MNCNIZEEDI'); DeleteFile('C:\WINDOWS\TEMP\CCSCKEHZP.exe'); DeleteFile('C:\WINDOWS\TEMP\CMKOXYM.exe'); DeleteFile('C:\WINDOWS\TEMP\COOPLRRC.exe'); DeleteFile('C:\WINDOWS\TEMP\MNCNIZEEDI.exe'); DeleteFile('C:\WINDOWS\TEMP\NSYBIUQOL.exe'); DeleteFile('C:\WINDOWS\TEMP\PJJSVAZC.exe'); DeleteFile('C:\WINDOWS\TEMP\RBEVA.exe'); DeleteFile('C:\WINDOWS\TEMP\RHVVJVFZPU.exe'); DeleteFile('C:\WINDOWS\TEMP\WQDQMDEDI.exe'); DeleteFile('C:\WINDOWS\TEMP\VTLFBAVIVW.exe'); DeleteFile('C:\WINDOWS\TEMP\TF.exe'); DeleteFile('C:\WINDOWS\Installer\26d74e6.msi'); DeleteFileMask('C:\WINDOWS\TEMP','*.exe',false); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
Скрипт выполнил.
Забыл сказать, что ComboFix выдал
e:\recycled\De2.exe . . . . Failed to delete
c:\windows\regedit.exe . . . is infected!!
c:\windows\system32\cscript.exe . . . is infected!!
c:\windows\system32\mspaint.exe . . . is infected!!
c:\windows\system32\mstsc.exe . . . is infected!!
c:\windows\system32\sc.exe . . . is infected!!
c:\windows\system32\services.exe . . . is infected!!
c:\windows\system32\telnet.exe . . . is infected!!
c:\windows\system32\tlntsess.exe . . . is infected!!
c:\windows\system32\w32tm.exe . . . is infected!!
c:\windows\system32\wscript.exe . . . is infected!!
c:\windows\system32\wbem\wmiprvse.exe . . . is infected!!
c:\windows\system32\dnsapi.dll . . . is infected!!
***
Загрузить карантин по ссылке не удалось. Залил сюда же
Last edited by Никита Соловьев; 01-08-2011 at 03:26 AM.
сделайте лог комбофикс
Сделал. Правда ComboFix вылетает в процессе работы. Картинку прилагаю.
Заархивируйте в ZIP с паролем virus и пришлите эти файлы по ссылке "прислать запрошенный карантин"c:\windows\regedit.exe . . . is infected!!
c:\windows\system32\cscript.exe . . . is infected!!
c:\windows\system32\mspaint.exe . . . is infected!!
c:\windows\system32\mstsc.exe . . . is infected!!
c:\windows\system32\sc.exe . . . is infected!!
c:\windows\system32\services.exe . . . is infected!!
c:\windows\system32\telnet.exe . . . is infected!!
c:\windows\system32\tlntsess.exe . . . is infected!!
c:\windows\system32\w32tm.exe . . . is infected!!
c:\windows\system32\wscript.exe . . . is infected!!
c:\windows\system32\wbem\wmiprvse.exe . . . is infected!!
c:\windows\system32\dnsapi.dll . . . is infected!!
Закачал. Только ссылку для поста там не нашёл???
Файл сохранён как 110108_234824_Infected_4d28cd9834c28.zip
Размер файла 1180102
MD5 cd3abe2ea975a953b650ad89231789e6
Файлы в порядке. У Вас система сборка?
Да сборка. Раньше никаких претензий у Комбофикса не имелось. А сейчас на wmiprvse.exe ещё и макафи ругается - проверял на вирустотал. Вообщем, после каждой перезагрузки логические диски становятся системными. Удаления с диска Е нет, снаружи диск Е не виден. Корзина глючит с очисткой. Винэксплорер периодически вылетает.
Переставлять винду?
Какой результат?Originally Posted by Asylum
File name: wmiprvse.exe
Submission date: 2011-01-08 11:36:32 (UTC)
Current status: finished
Result: 1 /43 (2.3%)
McAfee-GW-Edition 2010.1C 2011.01.08 Heuristic.BehavesLike.Win32.Suspicious.H
Это не аргумент. Он там многие файлы определяет.
Больше никаких аномалий у Вас в системе не вижу. Скорее всего это специфика сборки
Похожая история уже была, но вылечилась Комбофиксом в тот раз. В этот раз уже не получается. (((
RootkitRevealer тоже находит всякие аномалии в реестре. Попробую их поправить и, если не будет результата, поставлю старую корявую лицензию )))
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Asylum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Posting Permissions
