-
Junior Member
- Вес репутации
- 53
Помогите пожалуйста с непонятным вирусом(трояном)
Здравствуйте!!! При загрузке ОС антивирус начинает находить исполняемые файлы из папки system32 типо H001.exe или G001.exe и других имен. Выход в сеть интернет заблокирован! но пакеты отсылаются, т.е. что то их отсылает((( помогите пожалуйста разобраться.
вот логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {892E81F6-EC63-4d13-8422-835A7A05D6EB} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrv32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrv32.exe
O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM')
O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM')
O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user')
O4 - .DEFAULT User Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT User Startup: OP_CACHE.IDX (User 'Default user')
O4 - Startup: OP_CACHE.ATR
O4 - Startup: OP_CACHE.IDX
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\alYKOLGJMQSMQa.dll','');
QuarantineFile('C:\Program Files\R_Server\Slsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\z\I.exe','');
QuarantineFile('c:\windows\system32\prsrunsrv.dll','');
QuarantineFile('C:\WINDOWS\System32\prslogsrv.dll','');
QuarantineFile('c:\windows\system32\pwfocqpoatehejy.dll','');
QuarantineFile('C:\WINDOWS\msdrv32.exe','');
DeleteFile('C:\WINDOWS\msdrv32.exe');
DeleteFile('c:\windows\system32\pwfocqpoatehejy.dll');
DeleteFile('C:\WINDOWS\system32\z\I.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\OP_CACHE.ATR');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\OP_CACHE.IDX');
DeleteFile('C:\WINDOWS\system32\alYKOLGJMQSMQa.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=60646).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Выполнил, пофиксил.......
пофиксил и выполнил как в пунктах 2 и 3 и выслал карантин
вот логи
-
Выполните
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\R_Server\Slsvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 53
light59, ок, сейчас выполню и отпишусь.
-
Junior Member
- Вес репутации
- 53
вот логи
выполнил скрипт
Вроде бы всё нормально стало, интернет включил. ничего ни где не орёт.
вот логи
-
Junior Member
- Вес репутации
- 53
Отпишите пожалуйста по поводу последних логов
-
Ничего плохого
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
а карантин AVZ всё можно удалять?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Bratez, light59, thyrex, Огромное вам спасибо, и спсибо за то, что откликнулись так быстро!!!!СПАСИБО
в принципе всё работает, и тему можно ЗАКРЫВАТЬ.
ВСЕМ спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\r_server\slsvc.exe - Backdoor.Win32.Hupigon.jamm ( BitDefender: MemScan:Backdoor.Hupigon.AYZF, AVAST4: Win32:Malware-gen )
- c:\windows\msdrv32.exe - Net-Worm.Win32.Kolab.fap ( DrWEB: BackDoor.IRC.Bot.157, BitDefender: DeepScan:Generic.Malware.SI!P!XBPk!Tkprn.7EE17641, AVAST4: Win32:Rimecud-E [Wrm] )
- c:\windows\system32\alykolgjmqsmqa.dll - Trojan.Win32.Veslorn.e
- c:\windows\system32\prslogsrv.dll - Backdoor.Win32.Rbot.ksw ( DrWEB: Trojan.Theo )
- c:\windows\system32\prsrunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wwct ( BitDefender: DeepScan:Generic.Peed.C8C82A68, AVAST4: Win32:Malware-gen )
- c:\windows\system32\pwfocqpoatehejy.dll - Trojan.Win32.Veslorn.f
-