-
Junior Member
- Вес репутации
- 50
Файлы H001.exe P001.exe A23.exe в System32
Здравствуйте! У меня возникла следующая проблема: при очередном обновлении Касперского антивирус выдал сообщение типа: "Загружаемый файл содержит вирус, рекомендуется запретить загрузку". После запрета загрузки отключался Интернет. В ходе очередного "запрет загрузки - отключение интернета" компьютер самостоятельно перегрузился.
Одновременно с этим (после или вследствие этого???), в папке System32 появились новые папки с названием типа DF155FY, содержащие файлы H001.exe, P001.exe и A23.exe. Борьба с ними закончилась победой вируса))), не помогли ни три разных антивируса (Касперский, NOD32 и CureIt), ни удаление вручную. После удаления папок и самих файлов (антивирусом и вручную), в system32 появляются новые папки с этими файлами. Антивирус их засекает, удаляет, но при работе в Интернет они появляются снова.
Просканить комп в Безопасном режиме не удалось, т.к. безопасный режим не включается (хотя раньше проблем с этим не возникало).
Периодически возникает сообщение об ошибке в процессе svchost. Появляются трудности со входом в Интернет.
Надеюсь на Вашу помощь. Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\Antideqnb.exe','');
QuarantineFile('C:\WINDOWS\system32\J8LPNF4O\H001.exe','');
DeleteService('Distribuynv');
DeleteService('MediaCqwqqs');
QuarantineFile('c:\windows\system32\idsasvstart.dll','');
DeleteFile('c:\windows\system32\idsasvstart.dll');
DeleteFile('C:\WINDOWS\system32\J8LPNF4O\H001.exe');
DeleteFile('C:\WINDOWS\system32\Antideqnb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте! Спасибо за ответ!
Направляю новые логи и лог CombiFix.
Надеюсь с Вашей помощью победить эту зверюгу )))
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\Restore.exe
Driver::
Ndsmanatap
Sroervice
NetSvc::
Folder::
c:\windows\system32\B1DVKPIB
c:\windows\system32\AY3I8KBH
c:\windows\system32\81H3HUAB
c:\windows\system32\7RU6H0I8
c:\windows\system32\64BQ4FW0
c:\windows\system32\4TNMCDYR
c:\windows\system32\X1SN3XOK
c:\windows\system32\S5P2ILC8
c:\windows\system32\SSS5T8BY
c:\windows\system32\QPRS7RYK
c:\windows\system32\L6LKHTEJ
c:\windows\system32\K5OEIX41
c:\windows\system32\J120MS62
c:\windows\system32\INNP15ML
c:\windows\system32\IM03S73R
c:\windows\system32\I7ELZLMY
c:\windows\system32\I4CTJ2A2
c:\windows\system32\H3P7A4R8
c:\windows\system32\H22M058G
c:\windows\system32\BUF5AHNZ
c:\windows\system32\3JM3LLQK
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"IdsSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Добавлено через 1 час 35 минут
а также Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\ldsasclib.dll ','');
DeleteFile('c:\windows\system32\ldsasclib.dll ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось polword; 29.08.2010 в 22:25.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Еще раз спасибо за внимание к моей проблеме!
В процессе работы CombiFix у меня возникло 2 вопроса:
1) должна ли программа каждый раз загружать консоль восстановления?
2) при сканировании возникло сообщение об ошибке "неизвестное программное исключение ... по адресу ... Нормально ли это?
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\tcpz-x86d.sys
c:\windows\system32\ldsasclib.dll
Driver::
IdsSrv
TCPZ
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Чисто
Удалите ComboFix
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
И снова здравствуйте!
Осталась проблема с Интернетом (проблема эта возникла одновременно с вышеописанным вирусом):
Подключение к Интернету происходит как обычно. Через некоторое время (около получаса), компьютер выдает ошибку в процессе svchost (их у меня в диспетчере задач подозрительно много - 8 штук, раньше было меньше), Интернет отключается. Значок в трее остаётся, при нажатии на него предлагает разъединить, но на выбор этой команды не реагирует. Если нажать на значок "Подключение", рамка с параметрами (пароль и логин) возникает меньше чем на секунду и гаснет. Помогает только перезагрузка компьютера.
Добавлено через 46 минут
А вот и снова появились H001.exe P001.exe и A23.exe ((( NOD32 обновленный, исправно регистрирует эту гадость.
Добавлено через 1 минуту
Поможет ли переустановка Винды?
Добавлено через 1 час 14 минут
О! Новая фишка: после ошибки svchost зависают все программы, связанные с Интернет: торрент, qip, не реагирует на нажатие иконка "Подключение". Перезагрузка компа только через кнопку RESET на корпусе.
Последний раз редактировалось J_R@ptor; 31.08.2010 в 23:57.
Причина: Добавлено
-
Сделайте новый комплект логов
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Во время работы CombiFix комп выдал ошибку:
Pev.cfxxe - ошибка приложения
Исключение неизвестное программное исключение (0хс000417) в приложении по адресу...
-
Папку c:\windows\system32\t удалите вручную
C:\360Geywt.exe - что за файл?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Папку t в system32 периодически вручную удаляю, но она появляется снова.
Что за файл C:\360Geywt.exe не знаю, появился недавно (дата создания 28,08,2010). Удалить?
-
Удалите
Сообщение от
J_R@ptor
Папку t в system32 периодически вручную удаляю, но она появляется снова.
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
У меня проблема была с SP3 - не устанавливались некоторые программы, в том числе style xp (а для меня очень важно оформление). Может винда SP3 глючная попалась или эта версия такая в принципе (не дружит с некоторыми прогами)?
Добавлено через 5 минут
Вопрос: для того, чтобы IE8 работал, его нужно просто установить или запускать во время работы в интернет?
Последний раз редактировалось J_R@ptor; 03.09.2010 в 20:18.
Причина: Добавлено
-
Просто устанавливаете и при первом запуске возможно придется настроить, выполнив пошаговые действия
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\antideqnb.exe - Backdoor.Win32.Agent.ayle ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.4803995, AVAST4: Win32:Agent-AERY [Trj] )
- c:\\windows\\system32\\idsasvstart.dll - Net-Worm.Win32.Kolab.ksh ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.1736BAFC, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\ldsasclib.dll - Net-Worm.Win32.Kolab.knt ( DrWEB: Trojan.MulDrop1.42971, BitDefender: DeepScan:Generic.Malware.WX!.18E5BDE6, NOD32: Win32/TrojanDownloader.Agent.PID trojan, AVAST4: Win32:Malware-gen )
-