Показано с 1 по 18 из 18.

Помогите, пожалуйста, избавиться от zonetech.info/82.exe, dfwin.exe, LBTW.exe, mwau.exe и вернуть компьютер в нормальное состояние (заявка № 55248)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31

    Thumbs up Помогите, пожалуйста, избавиться от zonetech.info/82.exe, dfwin.exe, LBTW.exe, mwau.exe и вернуть компьютер в нормальное состояние

    c:\RECYCLER\S-1-5-21-7319233450-2936121267-166107555-5882\
    mwau.exe
    AVZ утверждает, что этот файл подменяет диспетчер задач.
    Удалить файл невозможно ни в обычном, ни в безопасном режиме.

    c:\WINDOWS\system32\
    01.scr
    15.scr
    41.scr
    52.scr
    54.scr
    61.scr
    70.scr
    73.scr
    74.scr
    76.scr
    78.scr
    81.scr
    88.scr
    и т.п.
    AVZ обнаруживает в этих файлах Trojan.Win32.Scar.rfv и удаляет, Avast ничего не видит.
    При удалении руками файлы после подключения к интернету снова появляются через какое-то время. Экран при этом почему-то моргает, оформление диспетчера задач (постоянно) и панели задач (на краткое время) становится как в Windows 95 или 3.1. Кажется, появляется на краткое время какой-то новый процесс, но какой именно - определить не удалось.

    c:\WINDOWS\system32\drivers\
    dfwin.exe
    LBTW.exe
    При удалении руками файлы после подключения к интернету снова появляются через какое-то время, а в диспетчере задач появляются соответствующие процессы...

    c:\WINDOWS\
    iexplorer7.exe
    При удалении руками файл после подключения к интернету снова появляется через какое-то время, а в диспетчере задач появляется соответствующий процесс...

    На карточке фотоаппарата появляются две неудаляемые "корзины", в одной из них был LBTWi.exe, удалён руками. Этот же файл был ранее удалён с диска C (из каталога c:\WINDOWS\system32\drivers\).

    Avast периодически блокирует подключение к вредоносному сайту zonetech.info/82.exe

    Firexox время от времени спонтанно "выбрасывается" на неизвестные сайты, например, winfixscanner2.com/scan1/?pid=199&engine=p3T40TTuMzA5LjE1Ny4yMTcmdGltZT0xMj UxNEUOPAVM

    Truecript иногда перестаёт "узнавать" свои пароли, после перезагрузки проблема исчезает.

    Помогите, пожалуйста!
    Последний раз редактировалось stress; 21.09.2009 в 10:05. Причина: сделать ссылку неработающей

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Обновите базы AVZ.
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('Q:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\iexplorer7.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-7319233450-2936121267-166107555-5882\mwau.exe','');
     QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\ASFWHide','');
     QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pxsec.sys','');
     DeleteService('esihdrv');
     DeleteService('catchme');
     SetServiceStart('ASFWHide', 4);
     DeleteService('ASFWHide');
     DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\ASFWHide');
     DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\catchme.sys');
     DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-7319233450-2936121267-166107555-5882\mwau.exe');
     DeleteFile('C:\WINDOWS\iexplorer7.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\pxsec.sys');
     DeleteFile('Q:\autorun.inf');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки. Сделайте новые логи по правилам
    Последний раз редактировалось DefesT; 21.09.2009 в 11:51.

  4. #3
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31

    Что следует делать дальше?

    Огромное спасибо за быстрый ответ!!!

    Всё сделал, карантин отправил, логи в приложениях.

    В отчёте AVZ насторожили две вещи:

    1) "Подмена диспетчера задач"

    2) Функция NtQuerySystemInformation (AD) перехвачена (8057D666->F7EBA486), перехватчик C:\DOCUME~1\admin\LOCALS~1\Temp\ASFWHide (но ни каталога, ни файла такого в системе уже нет, если верить тотал-коммандеру).

    Что следует делать дальше?
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    ASFWHide - от Аваста

    Да, и еще два а/вируса это много. Вижу Аваста и Касперского.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    Понятно.

    Постоянно пользуюсь Авастом: он легально-бесплатный.

    Касперского добавил, когда при работающем Авасте завелись эти "вирусы", но и он тоже ничего не выловил.

    Спасибо большое за помощь!

    Добавлено через 5 минут

    Оппаньки!! Аваст снова выдал сообщение "заблокировано соединение с вредоносным сайтом zonetech.info/82.exe". Кто ж туда лезет-то с моего компьютера??? С момента отправки логов (14:23) и до сих пор компьютер был выключен...

    Добавлено через 7 минут

    Нашёл наконец-то, кто:
    21.09.2009 19:00:05 Network Shield: blocked access to malicious site zonetech.info/82.exe [ C:\WINDOWS\System32\svchost.exe ( 1452 ) ]

    Посоветуйте, что делать, чтобы остановить эти попытки соединения с опасным сайтом?

    Добавлено через 12 минут

    В каталоге "c:\WINDOWS\system32\drivers\" опять появился микроб dfwin.exe
    И процесс соответствующий в диспетчере задач...
    Последний раз редактировалось stress; 21.09.2009 в 19:19. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Логи повторите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31

    Вечерние логи

    Повторяю...

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('esihdrv', 4);
     DeleteService('esihdrv');
     QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys','');
     DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\esihdrv.sys');
    DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    Скрипт выполнил, карантин отправил, логи сделал.

  11. #10
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    Опять появился файл
    c:\RECYCLER\S-1-5-21-6513888685-0194665170-947673283-4084\mwau.exe

    Удалить его невозможно

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\dfwin.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6513888685-0194665170-947673283-4084\mwau.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-6513888685-0194665170-947673283-4084\mwau.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\dfwin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    В папке system32 поищите scr-файлы с цифровым началом и, если найдутся, удаляйте смело
    Нужно срочно устанавливать обновления на систему. Начать лучше с установки SP3 (может потребоваться активация)

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    Спасибо!!! Буду искать обновления...

  14. #13
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    Установил обновления (SP3 и postSP3), сделал новые логи. Проверьте их, пожалуйста.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\RECYCLER\S-1-5-21-7646273323-5996349366-150279564-2740\mwau.exe','');
     TerminateProcessByName('c:\windows\mslsrv32.exe');
     QuarantineFile('c:\windows\mslsrv32.exe','');
     DeleteFile('c:\windows\mslsrv32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-7646273323-5996349366-150279564-2740\mwau.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    Всё сделано. Логи во вложениях.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего плохого не видно.
    Что с проблемами?
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    21.09.2009
    Сообщений
    13
    Вес репутации
    31
    На данный момент всё хорошо.
    Спасибо большое за помощь!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-7319233450-2936121267-166107555-5882\mwau.exe - Trojan.Win32.Buzus.caco ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2467830, AVAST4: Win32:Trojan-gen )
      2. c:\recycler\s-1-5-21-7646273323-5996349366-150279564-2740\mwau.exe - Trojan.Win32.Inject.ajfn ( DrWEB: Trojan.Packed.154, BitDefender: Worm.Generic.89330, NOD32: Win32/Peerfrag.DY worm, AVAST4: Win32:Trojan-gen )
      3. c:\windows\mslsrv32.exe - Net-Worm.Win32.Kolab.eaq ( DrWEB: BackDoor.IRC.Sdbot.5190 )


  • Уважаемый(ая) stress, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите возможно вирус zonetech.info
      От Rassomahin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.02.2010, 06:26
    2. Ответов: 4
      Последнее сообщение: 22.01.2010, 10:50
    3. Ответов: 1
      Последнее сообщение: 16.01.2010, 04:42
    4. Ответов: 6
      Последнее сообщение: 08.01.2010, 15:43
    5. Ответов: 14
      Последнее сообщение: 03.06.2008, 08:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01452 seconds with 17 queries