-
Junior Member
- Вес репутации
- 39
Ошибка svchost.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.frk, Backdoor.Win32.Azbreg.xhh
]
Здравствуйте. В последнее время начала появляться ошибка svchost.exe "в устройстве нет диска. Вставьте диск в устройство \Device\Harddisk1\DR1". Раньше с таким не сталкивался, поэтому не знаю, как поступить, само окно не закрывается. Произошло это после того, как вынул usb провод от телефона из компьютера. После этого пытался опять подключить usb к компьютеру, но проблема не исчезла. Очень надеюсь на вашу помощь. Заранее благодарен!
Вложение 444347
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) SVCha, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\LcXVjskuNAVcLk.exe','');
QuarantineFile('C:\Users\Стас\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\absprox.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5332112\xyzpro00.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5332112\xyzpro00.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\absprox.exe','32');
DeleteFile('C:\Users\Стас\AppData\Roaming\ScreenSaverPro.scr','32');
DeleteFile('C:\Windows\system32\LcXVjskuNAVcLk.exe','32');
BC_ImportDeletedList;
ExecuteSysClean;
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WxtwcVtHvs_dwOiEixJBqPKtxH');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hoolapp Android');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ralalr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Walalw');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('SCU',3,3,true);
ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
-
-
Junior Member
- Вес репутации
- 39
архив карантина отправил. Ниже прикрепляю архив virusinfo_syscheck.zip
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
DeleteService('syshost32');
TerminateProcessByName('c:\users\Стас\appdata\roaming\d7e7.exe');
QuarantineFile('c:\users\Стас\appdata\roaming\d7e7.exe','');
DeleteFile('c:\users\Стас\appdata\roaming\d7e7.exe','32');
DeleteFile('C:\Windows\Installer\{08072231-7853-5C52-5847-27A338210EC0}\syshost.exe','32');
DeleteFile('C:\Users\Стас\AppData\Roaming\ScreenSaverPro.scr','32');
BC_ImportDeletedList;
ExecuteSysClean;
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
Последний раз редактировалось Vvvyg; 03.11.2013 в 21:55.
WBR,
Vadim
-
-
Junior Member
- Вес репутации
- 39
после выполнения скрипта и перезагрузки ошибка кажется исчезла. Прислать запрошенный карантин не могу, пишет, что файл был загружен ранее.
-
Жду полный образ автозапуска uVS.
-
-
Junior Member
- Вес репутации
- 39
не могу сделать образ автозапуска, программа не отвечает при попытке его создать
-
-
-
Junior Member
- Вес репутации
- 39
Образ
Готово, образ во вложении
-
Выполните скрипт в uVS:
Код:
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
offsgnsave
; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\ABSPROX.EXE
addsgn 1A58099A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 24 Trojan-Proxy.Win32.Lethic.bkp
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\ABSPROX.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\FALALF.EXE
addsgn 1A5A099A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 32 Win32/Dorkbot.B [ESET-NOD32]
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\FALALF.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 1A28FF9A5583C58CF42B254E3143FE86C99AAA09FCF69235752B1751AF29FA392B187D516EBD9BC22B80076723FD45BC7269EE22BD6E392C2DF26476B2F72DCD 32 SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; C:\USERS\СТАС\APPDATA\ROAMING\TEMP.BIN
; C:\RECYCLER\WEBHOST.EXE
addsgn 1A09509A5583C58CF42B254E3143FE8E6082CF3FB2FED2609582C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB256E459BB071EE72E0D038F9487D 32 Trojan:Win32/Lethic.B [Microsoft]
zoo %SystemDrive%\RECYCLER\WEBHOST.EXE
delref HTTP://WWW.TOP-PAGE.RU/3
chklst
delvir
deltmp
regt 12
restart
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
-
-
Junior Member
- Вес репутации
- 39
http://rghost.ru/49979485 вот полный образ автозапуска, архив ZOO уже отправил
-
Выполните скрипт в uVS:
Код:
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo C:\USERS\СТАС\APPDATA\ROAMING\4C4D.EXE
addsgn 1A09509A5583C58CF42B254E3143FE8E6082CF3FB2FED2609582C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB256E459BB071EE72E0D038F9487D 32 Trojan:Win32/Lethic.B [Microsoft]
zoo C:\USERS\СТАС\APPDATA\ROAMING\56D9.EXE
addsgn 1A58099A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 24 Trojan-Proxy.Win32.Lethic.bkp
zoo C:\RECYCLER\WEBHOST.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\3735.EXE
addsgn 9A6C50DA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC01BF19FE5750ED139935319452D37F67461649FA7DDFE97255DABD260D57846D89477D38 24 Trojan.Winlock.6173 [DrWeb]
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\3735.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\GALALG.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\43F3.EXE
addsgn 1A946A9A5583D98CF42B95BC3418520550880F356005027885483AE9DB3A22C77E1F40ACDE22F21F7C03B9FFA05649FA08C700925BDAB046339F8E22C7064A8C 8 Trojan.PWS.Panda.547 [DrWeb]
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\43F3.EXE
delref %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\FALALF.EXE
delref %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; C:\USERS\СТАС\APPDATA\ROAMING\MINERG.EXE
addsgn 9252626A146AC1CCE0CB504EA34F72E6278A253F561348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 16 Tool.BtcMine.130 [DrWeb]
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MINERG.EXE
chklst
delvir
del %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\ZLIB1.DLL
del %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\PTHREADGC2.DLL
del %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\LIBCURL-4.DLL
deltmp
restart
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
-
-
Junior Member
- Вес репутации
- 39
-
Junior Member
- Вес репутации
- 39
готово, zoo отправил, вот ссылка на образ http://rghost.ru/49996319
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- \\absprox.exe._4806fdcd09ed06575d41123b8ad7fa62b15 24969 - Trojan-Proxy.Win32.Lethic.bkp ( BitDefender: Gen:Variant.Symmi.34499, AVAST4: Win32:Zbot-RZD [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-5332112\\xyzpro00.exe - Trojan-Proxy.Win32.Lethic.bko ( BitDefender: Trojan.GenericKD.1371772, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-5826412\\absprox.exe - Trojan-Proxy.Win32.Lethic.bkp ( BitDefender: Gen:Variant.Symmi.34499, AVAST4: Win32:Zbot-RZD [Trj] )
- c:\\users\\стас\\appdata\\roaming\\screensaverpro. scr - Worm.Win32.Ngrbot.vun ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\\windows\\system32\\lcxvjskunavclk.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Winlock.6673, BitDefender: Trojan.Generic.KD.710108, AVAST4: Win32:Urausy [Trj] )
- \\falalf.exe._ba5388346df3e67db3b5e9152c5c300043a7 2156 - Worm.Win32.Ngrbot.vtz ( BitDefender: Trojan.GenericKDV.1374193, AVAST4: Win32:Dorkbot-CV [Trj] )
- \\minerg.exe._21fc58fd31d322ded4ee46da32cfe38bbf63 9795 - not-a-virus:RiskTool.Win32.BitCoinMiner.frk ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )
- \\webhost.exe._ade6edd04dd604081d9fd5b84c5375b7c03 08861 - Backdoor.Win32.Azbreg.xhh ( BitDefender: Trojan.GenericKD.1366104, AVAST4: Win32:Kryptik-NCX [Trj] )
- \\3735.exe._7fa61b39182b065d5320c00b709d3eeea3b3a8 53 - Trojan.Win32.Sharik.qmr ( BitDefender: Trojan.GenericKD.1377391, AVAST4: Win32:Dropper-NKI [Drp] )
- \\4c4d.exe._ade6edd04dd604081d9fd5b84c5375b7c03088 61 - Backdoor.Win32.Azbreg.xhh ( BitDefender: Trojan.GenericKD.1366104, AVAST4: Win32:Kryptik-NCX [Trj] )
- \\43f3.exe._e94abe5e8f4ed0b3d1cdca937f6b2633372ba5 53 - Trojan-Spy.Win32.ZBot.qolu ( BitDefender: Trojan.Generic.9837719, AVAST4: Win32:Malware-gen )
- \\56d9.exe._7f06d29aef4b8b6886fca7062063db486efe6b 33 - Trojan.Win32.Yakes.dndq ( BitDefender: Trojan.GenericKD.1376076, AVAST4: Win32:Zbot-RZD [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-