-
Junior Member
- Вес репутации
- 53
Trojan.Win32.Buzus.cmsr и mshost.exe - помогите избавиться от заразы
Доброе время суток всем.
Никак не могу побороть вирус:
обнаружено: троянская программа Trojan.Win32.Buzus.cmsr Файл: C:\WINDOWS\mshost.exe
Постоянно прописывается в реесте в ветках Run.
C ним система подвисает. Не работают сетевые приложения. Вываливаются системные ошибки.
При удалении ссылок из реестра на этот файл и при удлалении его самого (C:\WINDOWS\mshost.exe),через некоторое время он появляется от куда то снова.
Проверял антивирусной лечащей утилитой AVPTool в безопасном режиме - она находит этот mshost.exe и вроде как лечит. Но через неопределенное (день, пол дня, сутки) время этот mshost.exe вновь появляется и прописывапется в системе.
ось MS Windows XP Home Ed. SP3.
Помогите, пожалуйста, а то мешает работе очень.
файлы логов прикрепил.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\mshost.exe','');
DeleteFile('C:\WINDOWS\mshost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Сообщение от
samec2011
через неопределенное (день, пол дня, сутки) время этот mshost.exe вновь появляется и прописывапется в системе.
ось MS Windows XP Home Ed. SP3.
Патчи важные установлены? Что Вы с Internet Ехplorer ом сделали?
Последний раз редактировалось Rene-gad; 24.11.2009 в 10:42.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Привет. Скрипт выполнил.
После перезагрузки появилось неизвестное устройство - его удалил. Так же в диспетчере устройств теперь с восклицательным знаком видеоадаптер Sis 741.
Карантин по ссылке закачал.
(Результат загрузкиФайл сохранён как 091125_062456_virus_4b0ca388140a8.zip
Размер файла 12827
MD5 987131d8073b4a33316ae3cafdf1430f)
Логи прикрепил.
Папку с IE я просто удалил из program files. Сегодня скачал с оф.сайта IE 8. Сейчас через автоматическое обновление буду устанавливать все критические обновления.
Так же сегодня был замечен запущенным файл msdrv32.exe - онлайн проверка касперским показала, что это net-worm.win32.kolab.fct - может быть эти вирусы как то связаны между собою ? Или это уже отдельная история?
Жду дальнейших указаний.
ещё один момент: при установке IE 8, а так же обновлений - выскакивает ошибка в файле mrt.exe, с предложением отправить в майкрософт отчет - может быть это будет полезно, при избаления от заразы....
Последний раз редактировалось Rene-gad; 25.11.2009 в 13:46.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\bsybt.exe');
QuarantineFile('c:\windows\system32\drivers\bsybt.exe','');
DeleteFile('c:\windows\system32\drivers\bsybt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Привет. Карантин после выполненного скрипта оказался пустым. Посмотрел журнал сканирования NOD32 - он "сжевал" этот "bsybt.exe", обозвав его "модифицированный Win32/Injector.AGY троянская программа".
Новые логи прикрепил.
Что дальше?
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пока работает. Компьютер на работе. В понедельник-вторник посмотрю. Если что-то не так - отпишусь.
Помощникам спасибо большое.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-