Показано с 1 по 8 из 8.

Trojan.Win32.Buzus.cmsr и mshost.exe - помогите избавиться от заразы (заявка № 61101)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    4
    Вес репутации
    30

    Thumbs up Trojan.Win32.Buzus.cmsr и mshost.exe - помогите избавиться от заразы

    Доброе время суток всем.
    Никак не могу побороть вирус:
    обнаружено: троянская программа Trojan.Win32.Buzus.cmsr Файл: C:\WINDOWS\mshost.exe

    Постоянно прописывается в реесте в ветках Run.
    C ним система подвисает. Не работают сетевые приложения. Вываливаются системные ошибки.
    При удалении ссылок из реестра на этот файл и при удлалении его самого (C:\WINDOWS\mshost.exe),через некоторое время он появляется от куда то снова.
    Проверял антивирусной лечащей утилитой AVPTool в безопасном режиме - она находит этот mshost.exe и вроде как лечит. Но через неопределенное (день, пол дня, сутки) время этот mshost.exe вновь появляется и прописывапется в системе.

    ось MS Windows XP Home Ed. SP3.

    Помогите, пожалуйста, а то мешает работе очень.
    файлы логов прикрепил.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\mshost.exe','');
     DeleteFile('C:\WINDOWS\mshost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
    Цитата Сообщение от samec2011 Посмотреть сообщение
    через неопределенное (день, пол дня, сутки) время этот mshost.exe вновь появляется и прописывапется в системе.

    ось MS Windows XP Home Ed. SP3.
    Патчи важные установлены? Что Вы с Internet Ехplorer ом сделали?
    Последний раз редактировалось Rene-gad; 24.11.2009 в 10:42. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    4
    Вес репутации
    30
    Привет. Скрипт выполнил.
    После перезагрузки появилось неизвестное устройство - его удалил. Так же в диспетчере устройств теперь с восклицательным знаком видеоадаптер Sis 741.

    Карантин по ссылке закачал.
    (Результат загрузкиФайл сохранён как 091125_062456_virus_4b0ca388140a8.zip
    Размер файла 12827
    MD5 987131d8073b4a33316ae3cafdf1430f)

    Логи прикрепил.

    Папку с IE я просто удалил из program files. Сегодня скачал с оф.сайта IE 8. Сейчас через автоматическое обновление буду устанавливать все критические обновления.

    Так же сегодня был замечен запущенным файл msdrv32.exe - онлайн проверка касперским показала, что это net-worm.win32.kolab.fct - может быть эти вирусы как то связаны между собою ? Или это уже отдельная история?

    Жду дальнейших указаний.

    ещё один момент: при установке IE 8, а так же обновлений - выскакивает ошибка в файле mrt.exe, с предложением отправить в майкрософт отчет - может быть это будет полезно, при избаления от заразы....
    Последний раз редактировалось Rene-gad; 25.11.2009 в 13:46.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\drivers\bsybt.exe');
     QuarantineFile('c:\windows\system32\drivers\bsybt.exe','');
     DeleteFile('c:\windows\system32\drivers\bsybt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    4
    Вес репутации
    30
    Привет. Карантин после выполненного скрипта оказался пустым. Посмотрел журнал сканирования NOD32 - он "сжевал" этот "bsybt.exe", обозвав его "модифицированный Win32/Injector.AGY троянская программа".
    Новые логи прикрепил.
    Что дальше?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    4
    Вес репутации
    30
    Пока работает. Компьютер на работе. В понедельник-вторник посмотрю. Если что-то не так - отпишусь.
    Помощникам спасибо большое.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) samec2011, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите вылечиться от Trojan.Win32.Buzus.lul
      От lasers в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.09.2009, 15:06
    2. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:08
    3. Помогите избавиться от заразы!!!
      От Yug555 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:07
    4. Помогите избавиться от заразы
      От medark в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.10.2008, 09:45
    5. Помогите избавиться от заразы.
      От emr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.10.2008, 22:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01441 seconds with 16 queries