Показано с 1 по 16 из 16.

Вирус лезет на FDD (заявка № 48120)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57

    Thumbs up Вирус лезет на FDD

    Добрый день, помогите пожалуйста справиться с вирусом: вирус постоянно обращается к диску А:, Нортон антивирус ругается, что его кто-то изменил, Опера отказывалась загружать сайты. Есть подозрения, что симптомы появились во время нахождения на сайте wikimapia

    Следуя инструкции, просканировал диски Касперским, который обнаружил 2 вируса на диске А: Worm.Win32.Autorun.apxu и в папке Windows Worm.Win32.Downloader.ajb Также были уничтожены несколько троянов: Trojan.Win32.Patched.fr,, trojan-ransom.win32.hexzone.aeo, trojan-spy.win32.zbot.wrr, trojan-psw.win32.qqpass.jkq, backdoo.win32.delf.pru, trojan-clcker.html.ifame.fh

    Самое интересное, что Нортон все эти вирусы не обнаружил!
    После лечения все нормализовалось. Я опять зашел на сайт wikimapia и снова начались обращения к дискете! Помогите справиться с напастью!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('G:\Program Files\PartyGaming\PartyPoker\RunApp.exe','');
     QuarantineFile('G:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('G:\WINDOWS\system32\explore.exe','');
     QuarantineFile('G:\WINDOWS\System32\Drivers\Winim48.sys','');
     DeleteService('Winim48');
     DeleteService('Darkness');
     QuarantineFile('G:\WINDOWS\system\svchost.exe','');
     QuarantineFile('G:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('g:\windows\system\svchost.exe','');
     QuarantineFile('g:\windows\system32\riodrv.exe','');
     QuarantineFile('g:\windows\temp\rdl394.tmp.exe','');
     DeleteFile('g:\windows\temp\rdl394.tmp.exe');
     DeleteFile('g:\windows\system\svchost.exe');
     DeleteFile('G:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('G:\WINDOWS\System32\Drivers\Winim48.sys');
     DeleteFile('G:\WINDOWS\system32\explore.exe');
     DeleteFile('G:\WINDOWS\system32\sdra64.exe');
     DeleteFile('G:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(9);
    ClearHostsFile;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48120
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Карантин выслал

  5. #4
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Спасибо, частично помогло, однако riodrv.exe все еще присутствует в системе, нортон антивирус не работает.
    Прилагаю новые логи.
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
     BC_DeleteSvc('Winua26');
     DeleteFile('g:\windows\system32\riodrv.exe');
     DeleteFile('G:\WINDOWS\System32\Drivers\Winua26.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    После выполнения скрипта система руается, что не найден riodrv.exe и находит новое устройство. Т.е. что-то наверное осталось.
    Логи прилагаю.
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('G:\Documents and Settings\Миша\Application Data\Sun\Java\jre1.6.0_11\lzma.dll','');
    QuarantineFile('Прямое чтение G:\Documents and Settings\Миша\Cookies\bive.sys','');
    QuarantineFile('G:\Documents and Settings\Миша\Local Settings\Application Data\elipu.bat','');
    QuarantineFile('G:\Documents and Settings\Миша\Local Settings\Application Data\jokosuraca.exe','');
    QuarantineFile('G:\Documents and Settings\Миша\Local Settings\Application Data\uvifezyp.com','');
    QuarantineFile('G:\Documents and Settings\Миша\Cookies\bive.sys','');
    RebootWindows(true);
    end.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48120

    Добавлено через 1 минуту

    Профиксить:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - G:\WINDOWS\
    Последний раз редактировалось PavelA; 17.06.2009 в 19:26. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Это неизвестное устройство ссылается на HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_UZMYMJK3

    Так же там есть похожие ветви HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_UTMYMJK3

    и HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_UJMYMJK3

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это драйвер AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Скрипт выполнил, пофиксил, карантин выслал, логи прилагаю.
    А что делать с этим драйвером?
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Вот логи после того, как пофиксил O20 - Winlogon Notify: WinCtrl32 - G:\WINDOWS\
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Присланный второй карантин чистый.

    Добавлено через 3 минуты

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('riodrv.exe');
    ExecuteRepair(1);
    ExecuteRepair(16);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Последний раз редактировалось PavelA; 18.06.2009 в 11:13. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Ругаться на отсутствие riodrv.exe система перестала, но новое устройство продолжает находить.
    Вложения Вложения

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SetAVZPMStatus(False);
    ExecuteStdScr(6);
    RebootWindows(true);
    end.
    Если устройство не исчезнет, то просто удалите его.
    Пароли могли уйти на сторону, надо их все поменять.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    07.10.2008
    Сообщений
    12
    Вес репутации
    57
    Спасибо большое, вроде помогло!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. g:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.aqcv
      2. g:\windows\system32\explore.exe - Trojan-Downloader.Win32.Knock.ct
      3. g:\windows\system32\riodrv.exe - Trojan-PSW.Win32.Riodrv.bb ( DrWEB: Trojan.DownLoad.38523 )
      4. g:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wrr ( DrWEB: Trojan.PWS.Panda.114 )
      5. g:\windows\temp\rdl394.tmp.exe - Trojan.Win32.Agent.cmqp

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) pohly, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус лезет через svchost в google-in-counter.org
      От proh в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.05.2011, 13:17
    2. Вирус лезет после каждой перезагрузки
      От XuLLlHuK в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.04.2010, 14:23
    3. вирус, лезет в инет
      От Yazri в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.10.2009, 01:24
    4. вирус лезет на сайт
      От Ирина Викторовна в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 09:35
    5. Постоянно лезет один и тот же вирус
      От Jessica в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 15.04.2006, 18:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00501 seconds with 20 queries