-
Junior Member
- Вес репутации
- 59
Подозрение на пачку вирусов, которые "выбивают" звуковую карту
Доброго времени суток! Проблема в следующем. При загрузке системы вскорости появляются окна об ошибке доступа к приложению ***.ехе и svchost.exeИнструкция по адресу 0x6fe216e2 обратилась к памяти по адресу 0x01e6005c. Память не может быть written. После этого пропадает звук. Повторные перезагрузки помогают ровно до тех пор, пока не появятся эти окна. CureIt находит порядка 250 зараженных файлов и после излечения пару дней все работае нормально. А потом снова выскакивают окна об ошибках. Посмотрите логи, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '*.exe',false);
DeleteFileMask('c:\RECYCLER', '*.*',true);
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\10.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\65.scr');
DeleteFile('C:\WINDOWS\system32\67.scr');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\dn.exe');
DeleteFile('C:\WINDOWS\system32\x');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101863).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
В AVZ "Файл" -> "Просмотр карантина" ничего нет. Как называется тот файл, что я должен поместить в карантин и прислать? virusinfo_cure.zip?
Новые логи прилагаю.
Последний раз редактировалось atkins; 07.05.2011 в 18:04.
-
Junior Member
- Вес репутации
- 59
NOD32 вылавливает Win32/Injector.GCW троян
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\38.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 59
При попытке загрузить файл quarantine.zip выскакивает сообщение Ошибка загрузки. Данный файл уже был загружен Но я ничего не загружал.
Новые логи прилагаю.
Последний раз редактировалось atkins; 07.05.2011 в 21:56.
-
Удалите в МВАМ только указанные ниже записи
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
Заражённые папки:
c:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[4].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[5].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\7[7].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\7[8].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5VJ6VZC6\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\m39[2].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\m96[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\администратор\djd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\newcd1.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\newed1.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\28B.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\application data\duvcvf.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\01.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\17.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\17.tmp (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\1B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\84.tmp (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\8E.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\acleaner.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\bnet.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\c[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\syitm.exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ms3[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ms4[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ms4[1]_0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\nd44[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\nd44[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\27.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\61.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\t7vd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\vsbntlo.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\winmap.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\winmap_0.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\xdx.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\33.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\33_____0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\36_____0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\3F.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\41.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\41.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\42.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\52.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\fdmix.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ghdrive32.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\hdcd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\hddd.exe (Worm.PalDot.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new1.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new1[1]0.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new2[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new2[2].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\TWVW5SZP\n[1].exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\04.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\84.exe (Trojan.Agent) -> No action taken.
e:\Игры\железная лягушка.exe (Trojan.Dropper) -> No action taken.
e:\Игры\храм инков.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\umdmgr.log (IRCBot.Trace) -> No action taken.
c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Указанные записи удалил. Новый MBAM-лог прилагаю.
-
Junior Member
- Вес репутации
- 59
Троян Win32/Injector.GCW уже не ломится, но все равно всплывают уведомления об ошибках в обращении к памяти по адресу****. Помогите, пожалуйста, господа хелперы.
Добавлено через 3 часа 28 минут
Новая проверка AVZ требуется?
Последний раз редактировалось atkins; 09.05.2011 в 20:04.
Причина: Добавлено
-
- удалите в MBAM
Код:
Заражённые процессы в памяти:
c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> 1612 -> Not selected for removal.
c:\documents and settings\администратор\application data\6C.tmp (Trojan.Agent) -> 2940 -> Not selected for removal.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> Not selected for removal.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Not selected for removal.
Заражённые файлы:
c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> Not selected for removal.
c:\documents and settings\администратор\application data\6C.tmp (Trojan.Agent) -> Not selected for removal.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun.Gen) -> Not selected for removal.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Not selected for removal.
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 59
Восстановление системы отключил еще в самом начале лечения.
Указанные строки в MBAM удалил.
Сделал проверку AVZ и hijackthis. Новые логи прилагаю.
После этого запустил новое сканирование MBAM. Лог прилагаю.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Duvcvf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 59
-
-