Junior Member
Вес репутации
47
Вирусы достали Win32.Hupigon.NNE
Доброго времени суток многоуважаемые хэлперы , примерно в 13,00 отключился виндовс упдатер и сразу после этого нод32 стал ругатся на Win32.Hupigon.NNE м потом ещё на кучю всякой гадости проверка нашла пару вирусов удалил, перезагрузился и снова начал находить вирусы пожалуйста помогите.Заранее вам благодарен.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) unforgiven101077 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте.
Удалите все найденное в МВАМ.
Выполните скрипт в AVZ (как выполнить) :
Код:
procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
end;
end;
end;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\WinsHelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\tcpwalzlib.exe','');
QuarantineFile('C:\WINDOWS\system32\xml79208.exe','');
QuarantineFile('C:\Program Files\rwvxok.exe','');
QuarantineFile('C:\Program Files\pqnjiu.exe','');
QuarantineFile('C:\WINDOWS\System32\RAbc.exe','');
DeleteFile('C:\WINDOWS\System32\RAbc.exe');
BC_DeleteSvc('aroLJGcF');
DeleteFile('C:\Program Files\pqnjiu.exe');
BC_DeleteSvc('MSUpdqteaui');
DeleteFile('C:\Program Files\rwvxok.exe');
BC_DeleteSvc('MSUpdqteieko');
DeleteFile('C:\WINDOWS\system32\xml79208.exe');
BC_DeleteSvc('NEyjVEVo');
DeleteFile('C:\WINDOWS\System32\tcpwalzlib.exe');
BC_DeleteSvc('WalzSvc');
DeleteFile('C:\WINDOWS\WinsHelp32.exe');
BC_DeleteSvc('WinsHelp32');
FixServiceStart('BITS');
FixServiceStart('wuauserv');
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
SaveLog(GetAVZDirectory+'psvc.txt');
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Файл psvc.txt из папки AVZ приложите в теме.
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Junior Member
Вес репутации
47
Доброго времени суток
Карантин выслал :
Файл сохранён как 110801_083200_quarantine_4e366480c5709.zip
Размер файла 3428
MD5 36eeb0c436a027318bb0cb4b1561e9fe
Логи и файл прикрепляю. Заранее сПасибо
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Доброго времени суток я извеняюсь за задержку с ответом. Вот лог
Вложения
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C.
Код:
KillAll::
File::
c:\windows\DelCache.bat
c:\windows\system32\Slsvcx.exe
c:\windows\system32\xmlAcl.exe
c:\windows\system32\xmlFtp.exe
c:\windows\system32\seek.com
c:\windows\system32\gouri.bat
c:\windows\system32\hnnh.bat
c:\windows\system32\mcsql.vbs
c:\windows\system32\xewnh.bat
Driver::
svchest92727
NetSvc::
netsvcs_0x1
netsvcs_0x2
netsvcs_0x3mdmserversssmdmserversssmdmserversssmdmserversssmdmserversssmdmserversss
svchest92727
Folder::
c:\windows\system32\i1889
c:\windows\system32\i1193
c:\windows\system32\i4671
c:\windows\system32\i1877
c:\windows\system32\i1278
c:\windows\system32\i5742
c:\windows\system32\i7066
c:\windows\system32\i2418
c:\windows\system32\i6632
c:\windows\system32\i7053
c:\windows\system32\i4756
c:\windows\system32\i5268
c:\windows\system32\i8752
c:\windows\system32\i2046
c:\windows\system32\i4246
c:\windows\system32\i6590
c:\windows\system32\i1974
c:\windows\system32\i6439
c:\windows\system32\i4200
c:\windows\system32\i7631
c:\windows\system32\i6412
c:\windows\system32\i3030
c:\windows\system32\i8135
c:\windows\system32\i5727
c:\windows\system32\i8304
c:\windows\system32\i7875
c:\windows\system32\i9913
c:\windows\system32\i8277
c:\windows\system32\i8926
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Установите все обновления для MSSQL
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Вложения
- REDUCED FUNCTIONALITY MODE -
Версия ComboFix устарела. Скачайте еще раз и выполните скрипт повторно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Доброго времени суток неполучается сделать повторно скрипт комбофикс , обнновилась программа и потом компьютер зависает на сканировании простоял с сканированием 3 часса и ничего не происходило. Уже и удалял комбофих и переустанавливал неполучается ничего таже проблемма . Может подскажите чьтото другое.
Попробуйте в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Многоуважаемый thyrex в безопасном режиме та же история, есть какое то другое решение проблемы или всёже прийдётся переустановить ВиндоуС
Удалите ComboFix
Потом установите заново
Если не поможет, удалите файлы и папки из скрипта вручную
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
В Комбофик лог неудолось выполнить, почистил всё в ручьную , сделал новые логи АВЗ , щас сделаю лог и комбофикс
Вложения
Junior Member
Вес репутации
47
Вложения
Зараза вернулась
Установите все новые обновления для Windows
Если используете и какой-либо SQL-сервер, установите и для него все обновления
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
c:\windows\system32\xml98363.exe
c:\windows\system32\xml19431.exe
c:\windows\system32\xml84063.exe
c:\windows\system32\xml52879.exe
c:\windows\system32\tcpwamelib.exe
c:\windows\system32\on1.exe
Driver::
WameSvc
╨бщк─╛JJ
Tcpz-x86
svchest92727
NetSvc::
netsvcs_0x1
netsvcs_0x2
netsvcs_0x3mdmserversssmdmserversssmdmserversssmdmserversssmdmserversssmdmserversss
svchest92727
Folder::
c:\windows\system32\i1290
c:\windows\system32\i6317
c:\windows\system32\i4366
c:\windows\system32\i5856
c:\windows\system32\i4200
c:\windows\system32\i4522
c:\windows\system32\i6171
c:\windows\system32\i4370
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"sougou"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Скрипт выполнил вот новый лог, После выполнения скрипта смог обновить Виндоус а SQL показывает чьто обновления все установленны.
Просматрите пожалуйста скрипты АВЗ
Вложения
Последний раз редактировалось unforgiven101077; 11.08.2011 в 15:42 .
Junior Member
Вес репутации
47
После лечения комбофиксом , проблема осталась Нод ругается на А11.exe . A01.exe В папке систем 32 поевились новые папки с первоначальной буквой i . Переделал логи АВЗ просматрите пожалуйста
Вложения
Junior Member
Вес репутации
47
Ктонибуть отпишитесь, просмотрите логи пожалуйста многоуважаемые хэлперы
Отключите компьютер от сети. Это сетевой червяк и лезет через дыры в системе. Или обновления не все или SQL Server весь в дырах все же
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
c:\windows\system32\xml78171.exe
c:\windows\system32\xml23851.exe
c:\windows\system32\xml91398.exe
c:\windows\system32\xml27120.exe
c:\windows\system32\xml40412.exe
c:\windows\system32\xml77346.exe
c:\windows\system32\xml87224.exe
c:\windows\system32\xml50498.exe
c:\windows\system32\xml71927.exe
c:\windows\system32\xml98363.exe
c:\windows\system32\xml19431.exe
c:\windows\system32\xml84063.exe
c:\windows\system32\xml52879.exe
c:\windows\system32\tcpwamelib.exe
c:\windows\system32\on1.exe
c:\windows\system32\i7329\A11.exe
c:\windows\system32\i1015\A11.exe
Driver::
NetSvc::
Folder::
c:\windows\system32\i7329
c:\windows\system32\i8472
c:\windows\system32\i3430
c:\windows\system32\i6901
c:\windows\system32\i7474
c:\windows\system32\i1015
c:\windows\system32\i5014
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect