-
Junior Member
- Вес репутации
- 56
Помогите... посторонние процессы
Аваст постоянно ругается, в systm32 прописываются папки со странными названиями в которых лежат файлы с названием 001 или 002, также появляются одноимённые процессы. Всё это происходит при наличии подключения к сети, также авастом пресекаются попытки самопроизвольно соединиться с какими-то сайтами...
CUREIT нашёл "ddos attack 203", "ddos storm 19", "BackDoor. Dark sheel. 68", "trojan mycentria (не точно)". После удаления этих вирусов проблемы не прекратились.
Логи прикладываю.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('acpi24Drv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\18425493.sys','');
QuarantineFile('C:\WINDOWS\system32\youming.dll','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteService('acpi24Drv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('acpi24Drv');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Не отключить файрвол, ошибка: “Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.” Браузеры толком не работают, система тормозит пострашному... Можно сделать логи не отключая файрвол?
-
-
-
Junior Member
- Вес репутации
- 56
-
-
-
Junior Member
- Вес репутации
- 56
Был закачан. Переименовал, закачал ещё раз "090511_142503_Карнтин от andreich-1_4a07fcffdf274.zip"
Браузеры тормозят, невозможно... Процессы типа "ifzai.exe" жрут траффик
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ifzai.exe');
TerminateProcessByName('c:\windows\cliqsrv.exe.exe');
StopService('ifzai');
StopService('ClipB00k');
QuarantineFile('system32\DRIVERS\18425493.sys','');
QuarantineFile('c:\windows\system32\youming.dll','');
QuarantineFile('c:\windows\system32\ifzai.exe','');
QuarantineFile('c:\windows\cliqsrv.exe.exe','');
DeleteFile('c:\windows\cliqsrv.exe.exe');
DeleteFile('c:\windows\system32\ifzai.exe');
DeleteFile('c:\windows\system32\youming.dll');
DeleteService('ifzai');
DeleteService('ClipB00k');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ifzai');
BC_DeleteSvc('ClipB00k');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Сделал. Процессов жрущих траффик пока не замечаю, но в system32 всё равно появляются папки с именами типа "LOMMN04SU" или "NC3FZEXGU" с файлами "Q001.exe " "K002.exe" и т.п. аваст постоянно ругается на трояны. Если их удалять, они снова прописываются...
Карантин 090511_162733_2009-05-11.andreich-1_4a0819b508026.zip
-
Сделайте проверку на файловые вирусы (см. ссылку в подписи)
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\cliqsvr.exe.exe');
StopService('ClipB00k');
StopService('KingDuuBa A');
StopService('WinHelp');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\Program Files\R_Server\Slsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\KiVIR.exe','');
QuarantineFile('C:\WINDOWS\system32\ShareLib.dll','');
DeleteFile('C:\WINDOWS\system32\KiVIR.exe');
DeleteFile('C:\WINDOWS\system32\ShareLib.dll');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
DeleteFile('c:\windows\cliqsrv.exe.exe');
DeleteFile('c:\windows\system32\youming.dll');
DeleteService('KingDuuBa A');
DeleteService('ClipB00k');
DeleteService('WinHelp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('KingDuuBa A');
BC_DeleteSvc('ClipB00k');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Продолжаю просить помощи... Всё это время никаких изменений: попрежнему посторонние процессы, попытки соединиться с какими-то сайтами, аваст постоянно ругается, при сканировании любым антивирусом в любом режиме - удаляются 6-8 вирусов, а при перезагрузке и последующем подключении к нету все вирусы прописываются обратно и аваст опять ругается...
Такое ощущение, что вирус контролирует все загрузки! С трекеров вообще ничего не закачать ни одним клиентом, при загрузке большенства антивирусов, либо повреждаются файлы, либо происходит сбой в загрузке, повреждаются все exe-файлы...
Проверку на файловые вирусы сделал с помощью DRWeb LiveSD - ничего найдено не было.
Заранее спасибо...
Карантин: 090521_212102_2009-05-21 andreich-1_4a158d7e718c1.zip
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('esihdrv');
QuarantineFile('C:\DOCUME~1\emeaa\LOCALS~1\Temp\esihdrv.sys','');
DeleteService('Windows Management Audios');
QuarantineFile('C:\WINDOWS\system32\oobe\obeips.exe','');
DeleteService('System Event Helper');
QuarantineFile('C:\WINDOWS\system32\slbiops.exe','');
QuarantineFile('C:\WINDOWS\se.exe','');
DeleteService('ser');
DeleteService('13DB6EE4');
QuarantineFile('C:\WINDOWS\Fonts\D9FE14BE.EXE','');
QuarantineFile('c:\windows\system32\sysgeneral.dll','');
DeleteFile('c:\windows\system32\sysgeneral.dll');
DeleteFile('C:\WINDOWS\Fonts\D9FE14BE.EXE');
DeleteFile('C:\WINDOWS\se.exe');
DeleteFile('C:\WINDOWS\system32\slbiops.exe');
DeleteFile('C:\WINDOWS\system32\oobe\obeips.exe');
DeleteFile('C:\DOCUME~1\emeaa\LOCALS~1\Temp\esihdrv.sys');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 56
Сделал.
Карантин: 090521_225826_virus_4a15a4521a0df.zip
-
c:\progra~1\ooves\ooves.ref - пришлите согласно приложения 2 правил
-
-
Junior Member
- Вес репутации
- 56
Сделал.
Карантин:090521_232551_virus proga_4a15aabf4a1fb.zip
Добавлено через 10 часов 34 минуты
Парни, помогите пожалуйста... ноут отдавать, а в нём хрень всякая...
Последний раз редактировалось andreich-1; 22.05.2009 в 10:01.
Причина: Добавлено
-
- отключите восстановление системы!
- выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\pctplsg.sys','');
DeleteFile('c:\progra~1\ooves\ooves.ref');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
- пришлите карантин
- повторите логи
-
-
Junior Member
- Вес репутации
- 56
Сделал, карантин пустой...
-
Junior Member
- Вес репутации
- 56
Вроде всё стало нормально, только windows долго загружается... Посмотрите пожалуйста логи...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 6
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~1\ooves\ooves.ref - Trojan.Win32.Agent.cies
- c:\windows\cliqsrv.exe.exe - Backdoor.Win32.Small.hzk
- c:\windows\system32\ifzai.exe - Trojan-Downloader.Win32.Agent.bxga ( BitDefender: BehavesLike:Trojan.Downloader )
- c:\windows\system32\sysgeneral.dll - Trojan.Win32.Delf.mrf
-