Junior Member
Вес репутации
57
Отключается интернет и иные беды
Здравствуйте!
Проблема с компьютером. Перестает работать интернет, через несколько минут работы, система виснет, тормозит. Антивирусы находят и удаляю несколько вирусов, но они появляются вновь.
Вот несколько названий в терминологии Касперского:
suivtw.exe
Win32:Sality-gen
C:\WINDOWS\System32\x
Win32:Confi [Wrm]
Worm.Win32.AinfBot.x
Заранее большое спасибо!
С уважением,
Виталий.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сообщение от
Kavr
Вот несколько названий в терминологии Касперского:
suivtw.exe
Win32:Sality-gen
C:\WINDOWS\System32\x
Win32:Confi [Wrm]
Это скорее из терминологии Avast'a
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\.tt5.tmp.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\dbbf786f.sys','');
DeleteService('dbbf786f');
DeleteFile('C:\WINDOWS\System32\drivers\dbbf786f.sys');
DeleteFile('C:\WINDOWS\Temp\.tt5.tmp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','inrhctqbj0ea7v');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Последний раз редактировалось thyrex; 18.09.2009 в 00:24 .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Сообщение от
thyrex
Это скорее из терминологии Avast'a
Вы правы, конечно.
Высылаю логи и карантин.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ooflm.dll','');
DeleteFile('C:\WINDOWS\system32\ooflm.dll');
QuarantineFile('esktop__.ini','');
DeleteFile('esktop__.ini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service bacjtwxw
gmer.exe -del service hbrqizcjz
gmer.exe -del service qmcklfkvt
gmer.exe -del file "C:\WINDOWS\system32\ooflm.dll"
gmer.exe -del file "esktop__.ini"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bacjtwxw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbrqizcjz"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qmcklfkvt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bacjtwxw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hbrqizcjz"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qmcklfkvt"
gmer.exe -reboot
q2cel4rn.exe -del service bacjtwxw
q2cel4rn.exe -del service hbrqizcjz
q2cel4rn.exe -del service qmcklfkvt
q2cel4rn.exe -del file "C:\WINDOWS\system32\ooflm.dll"
q2cel4rn.exe -del file "esktop__.ini"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bacjtwxw"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbrqizcjz"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qmcklfkvt"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bacjtwxw"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hbrqizcjz"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qmcklfkvt"
q2cel4rn.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
После этого повторите логи
The worst foe lies within the self...
Junior Member
Вес репутации
57
Сообщение от
Kuzz
Выполните скрипт в AVZ
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service bacjtwxw
gmer.exe -del service hbrqizcjz
gmer.exe -del service qmcklfkvt
gmer.exe -del file "C:\WINDOWS\system32\ooflm.dll"
gmer.exe -del file "esktop__.ini"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bacjtwxw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbrqizcjz"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qmcklfkvt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bacjtwxw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hbrqizcjz"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qmcklfkvt"
gmer.exe -reboot
q2cel4rn.exe -del service bacjtwxw
q2cel4rn.exe -del service hbrqizcjz
q2cel4rn.exe -del service qmcklfkvt
q2cel4rn.exe -del file "C:\WINDOWS\system32\ooflm.dll"
q2cel4rn.exe -del file "esktop__.ini"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bacjtwxw"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbrqizcjz"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qmcklfkvt"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bacjtwxw"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hbrqizcjz"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qmcklfkvt"
q2cel4rn.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
После этого повторите логи
Все выполнил, логи повторяю.
Отмечу следующее:
Строки
q2cel4rn.exe -del file "esktop__.ini"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bacjtw xw"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbrqiz cjz"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qmcklf kvt"
дали ошибки: первая "файл не найден", остальные три "неверный ключ".
Еще нюанс: только после запуска батника и перезагрузки стал открываться virusinfo.info. Остальные сайты открывались.
С уважением,
Виталий.
Вложения
Junior Member
Вес репутации
57
Еще хочу отметить:
Часть внешних признаков работы вируса остались:
Периодически значек раскладки клавиатуры Ru/En приобретает серое обрамление
через несколько секунд вся нижняя панель представляется в старом виндоус98-м дизайне
и перестает работать интернет.
Кроме того в сетевых подключениях имеется неизвестное мне VPN-соединение z-connect.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится q2cel4rn.exe (gmer)
Код:
q2cel4rn.exe -del service ktyuyb
q2cel4rn.exe -del file "C:\WINDOWS\system32\ooflm.dll"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ktyuyb"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ktyuyb"
q2cel4rn.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Сообщение от
thyrex
Сохраните текст ниже как cleanup.bat в ту же папку, где находится q2cel4rn.exe (gmer)
Код:
q2cel4rn.exe -del service ktyuyb
q2cel4rn.exe -del file "C:\WINDOWS\system32\ooflm.dll"
q2cel4rn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ktyuyb"
q2cel4rn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ktyuyb"
q2cel4rn.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Готово!
Толку нет, змей-горыныч опять на месте.
Надо обновлять систему, иначе это может длиться бесконечно:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Ставьте SP3 и последующие обновления.
Просканируйте систему свежим CureIt , предварительно подключив все свои съемные носители (флэшка, плеер, фото...).
После этого новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
57
SP3 поставил. Обновления поставить не получилось. микрософт.ком не открывается, не пингуется. cureit проверил, нашел на флешке один вирус, тот же и на компьютере.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Уехал в командировку на 3 недели. Зверюга остался на компьютере жены. Она сама эти инструкции не осилит, так что лечение откладывается. Через 3 недели напишу в тему. Большое спасибо.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 4 В ходе лечения вредоносные программы в карантинах не обнаружены