-
Junior Member
- Вес репутации
- 54
wnzip32.exe + что-то ещё
Доброе время суток,
Стоит WinXP SP3, антивирус avast!
В процессе работы аваст начал ругаться на различные файлы вида ХХХ.ехе, где ХХХ - 3 случайные цифры.
Проверил весь комп авастом в режиме "до загрузки Windows", проблема на несколько дней исчезла, но затем появилась опять.
CureIt удалил все файлы ХХХ.ехе, но через какое-то время они стали появляться вновь.
Внешнее проявление "активности" - слетают драйвера на встроенную в материнку звуковую карту (Realtek audio '97), плюс появился "несанкционированный" исходящий трафик.
При проверке с помощью avz4 было выявлено два "зверя" - >>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe"
>>> Подозрение на маскировку ключа реестра службы\драйвера "pilvmwbg"
Процесс c:\windows\ccdrive32.exe Может работать с сетью (wininet.dll,urlmon.dll)
в истреблении которых я и мой комп просим вас о помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('c:\windows\ccdrive32.exe','');
TerminateProcessByName('c:\windows\ccdrive32.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\282.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\282.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y6FMUSS6\2ua[1].zip','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\14ri[1].zip','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[2].zip','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[1].zip','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\B0I4F7DU\2ua[1].zip','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\B0I4F7DU\2ua[1].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[1].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7FT1YWP2\14ri[2].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\14ri[1].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\14ri[2].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y6FMUSS6\2ua[1].zip');
DeleteFile('c:\docume~1\admin\locals~1\temp\282.exe');
DeleteFile('c:\windows\ccdrive32.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\RECYCLER\S-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(11);
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 54
Прошу прощения за задержку, Gmer долго сканировал.
Логи прикреплены, карантин закачан.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится p1owkgu3.exe (gmer)
Код:
p1owkgu3.exe -del service pilvmwbg
p1owkgu3.exe -del file "C:\WINDOWS\system32\jpjkjkx.dll"
p1owkgu3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pilvmwbg"
p1owkgu3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pilvmwbg"
p1owkgu3.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится p1owkgu3.exe (gmer)
Код:
p1owkgu3.exe -del service pilvmwbg
p1owkgu3.exe -del file "C:\WINDOWS\system32\jpjkjkx.dll"
p1owkgu3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pilvmwbg"
p1owkgu3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pilvmwbg"
p1owkgu3.exe -reboot
И запустите cleanup.bat.Компьютер перезагрузится. Сделать новый лог gmer
-
-
Junior Member
- Вес репутации
- 54
При выполнении бат-файла это не было найдено:
"HKLM\SYSTEM\CurrentControlSet\Services\pilvmw bg"
"C:\WINDOWS\system32\jpjkjkx.dll"
Gmer работает, как закончит - прикреплю лог.
Upd: только что аваст! ругнулся на эти файлы -
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BMR5CM0C\24[1].exe
C:\WINDOWS\system32\65.scr
картина с XX.scr мне знакома, боролись здесь -
http://virusinfo.info/showthread.php?p=473602
тогда вроде удалось победить... неужели опять?
Upd2: добавлен новый лог Gmer
Последний раз редактировалось Simbaka; 01.12.2009 в 00:54.
Причина: новые инфицированные файлы
-
Сделайте логи АВЗ
Лог Gmera - чист
-
-
Junior Member
- Вес репутации
- 54
Логи приложены, проблем пока не возникало.
Насколько я понимаю, в моём случае сообщение авз -
>>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE" >> Подмена диспетчера задач
нормально?
-
Сообщение от
Simbaka
>>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE" >> Подмена диспетчера задач
нормально?
Выполните скрипт
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится
Выполните 2-й стандартный скрипт и прикрепите лог к новому сообщению
-
-
Junior Member
- Вес репутации
- 54
Вроде всё ровно, спасибо огромное.
-
В логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
Проблема решена, спасибо ещё раз.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\b0i4f7du\2ua[1].zip - Backdoor.Win32.Cetorp.k ( DrWEB: Trojan.Spambot.4492, BitDefender: Backdoor.Generic.228350, AVAST4: Win32:Malware-gen )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\bmr5cm0c\14ri[1].zip - Trojan.Win32.Buzus.cpps ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2762226, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\y6fmuss6\2ua[1].zip - Backdoor.Win32.Cetorp.k ( DrWEB: Trojan.Spambot.4492, BitDefender: Backdoor.Generic.228350, AVAST4: Win32:Malware-gen )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\7ft1ywp2\14ri[1].zip - Trojan.Win32.Buzus.cpps ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2762226, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\7ft1ywp2\14ri[2].zip - Trojan.Win32.Buzus.cpps ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2762226, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\admin\locals~1\temp\282.exe - Trojan.Win32.Buzus.cqit ( DrWEB: Trojan.Spambot.6388, BitDefender: Trojan.Generic.2770362, AVAST4: Win32:Trojan-gen )
- c:\recycler\s-1-5-21-5810724732-5218859581-745640730-5893\wnzip32.exe - P2P-Worm.Win32.Palevo.klr ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.102683, AVAST4: Win32:Malware-gen )
- c:\windows\ccdrive32.exe - Net-Worm.Win32.Kolab.ffa ( DrWEB: Trojan.Inject.3914 )
-