Завелся какой-то чудик в машине. Сначала заметил что DrWeb в трее загорелся с восклицательным знаком, при детальном осмотре выяснил что не запущены процессы Guard, Родительский контроль и так далее. А так же обнаружил в процессах запущенный файлик с именем 23847884399:4027833201.exe но он не глушиться ни диспетчером задач, ни AVZ-шным диспетчером процессов, вроде и интернет работает, но глюки при запуске exe-шников....пишет типа "отказано в доступе к указаному устройству, пути или файлу.Возможно, у вас нет нужных прав доступа к этому обьекту". Перегружусь вроде работают но не надолго.. Руками удаляю этот файлик но он пустой с ним еще появляется еще файло с именем 0.log Прикрепил файлик с отчетом....за ранее спасибо жду помощи!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\2384784399:4027833201.exe','');
QuarantineFile('c:\windows\2384784399:4027833201.exe:$DATA','');
DelCLSID('{35TBC5C0-4FuB-31XF-AAC6-21CX1C6Og22}');
DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187666}');
DelCLSID('{63KLC5K0-4OPM-00WE-AAX8-17EF1D187263}');
QuarantineFile('c:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe','');
QuarantineFile('C:\Soft\G-414141ERER-1233211231-12313242131-555\FEB.exe','');
QuarantineFile('C:\THE\DANCE\DeaTH.exe','');
DelBHO('{87B10BE9-7FB0-49C4-638A-54BAD651B1F5}');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\ttkiimry.exe','');
DeleteFile('C:\Documents and Settings\User\Application Data\ttkiimry.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','PC Health Status');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','PC Health Status');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','amva');
DeleteFile('C:\Soft\G-414141ERER-1233211231-12313242131-555\FEB.exe');
DeleteFile('c:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe');
DeleteFile('C:\THE\DANCE\DeaTH.exe');
DeleteFile('c:\windows\2384784399:4027833201.exe:$DATA');
DeleteFile('c:\windows\2384784399:4027833201.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сначала этот файлик с кучей цифр не появился, но проблемы с запуском и модификацией EXE-шников остались. Но потом он опять появился после не которых перезагрузок. Прикладываю логи. Так же не могу поставить DrWeb и запустить HijackThis, тоесть HijackThis запускается но логи не сохраняет потому что программа сворачивается.
begin
Executerepair(1);
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end
Сообщение от Шапельский Александр
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"
полного сканирования МВАМ[/url]
Вроде победил этого паразита...
Не получилось у меня сделать лог....Как и писал, этот паразит модифицировал все ex-зешники к которым я обрашался, до того дошло, что он гадёныш завалил и Dr.Web CureIt! (су....ёк 72 мб коту под хвост), хотя Антивирь DrWeb спокойно востановился и работают все его приложения,убил и HiJackThis, и AVZ тоже похерил, при работе с ней приходилось включать или включать AVZGuard или заменять файлик постоянно, но тоже не просто подменой - а сначала Unlocker-ом удаляешь а потом только подменяешь, просто не удалить тот exe-шник который он модифицировал.
После некоторых мытарств, вычитал темку на форуме по схожей проблеме, скачал утилитку TDSSKiller - просканировал и оказался это он и есть, нашел 3 хрени, грохнул их, перегрузился и Антивирь заработал, обновил, поставил на сканирование, но ничего не нашел
Вроде все норм, но проблемка как раз в том, что все исполняемые файлики (*.exe) к которым обращался по ходу борьбы с зловредом, не запускаются, все утилитки погибли и именно только запускаемый файл, остальные норм, удаляешь кривой файл Unlocker-ом и переустанавливаешь или заменяешь его из заранее скопированной папки, только TDSSKiller и GMER не поддались этой скатине, пардон за мой французский, весь мозг мене высушил этот вирь....
Если не трудно я щас выложу логи гляньте пожалуйста может что и осталось...за ранее благодарю.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: