Вирус nissan.exe

**pomasannik1** · 22.12.2009, 16:29

Добрый день!
При загрузке компьютера и при подключении к интернету появляется фаерфокс и ещё какие-то процессы. На флэшках создаются файл autorun.inf и и другие файлы. В диспетчере висит процесс nissan.exe. Перестал перезагружаться компьютер - только кнопкой.
Чистил и каспером и вэбом - оба нашли по парочке вирусов.
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snifer67** · 22.12.2009, 16:34

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-7147979724-0406718650-614793610-0697\nissan.exe','');
 QuarantineFile('C:\Documents and Settings\ОЛЕГ\ОЛЕГ.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-7147979724-0406718650-614793610-0697\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118

Сделайте новые логи.

**pomasannik1** · 22.12.2009, 17:26

файл карантина загрузил.
при выполнении логов выскакивало сообщение, что програмки, выполняющие проверку повреждены, причём все 3.
перезагрузка снова не выполняется.

**pomasannik1** · 22.12.2009, 20:36

убрал gmer с диска С и сообщение об ошибке больше не выскакивает/

Добавлено через 45 минут

после принудительной перегрузки выводит сообщение: RCINT failure. String table ID not found. 42 at line 41.
пару раз нажимаю эскейт и загружается с правами пользователя.

Добавлено через 49 минут

Добавлено через 1 час 13 минут

уже не работает диспетчер и не включается перезагрузка.

**Шапельский Александр** · 22.12.2009, 20:57

Просканируйте ПК Куреитом (др.Веб), затем AVPTool. После сканирования сделайте новые логи.

**pomasannik1** · 22.12.2009, 23:13

спасибо!
проверил обеими антивирусами и был обнаружен всего один вирус.
в awz обнаружена подмена диспетчера задач и подозрение на троян в файле ntshrui.dll
комп перегружается только кнопкой, диспетчер задач невозможно вызвать.
с помощью диспетчера awz обнаружил два подозрительных(для меня) процесса - winlogon.exe и logonui.exe
сделал новые логи.

**pomasannik1** · 22.12.2009, 23:39

после принудительной перегрузки продолжает выводить сообщение: RCINT failure. String table ID not found. 42 at line 41

**Шапельский Александр** · 22.12.2009, 23:42

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\ayt69onr.SYS','');
 QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
 QuarantineFile('c:\windows\system32\logonui.exe','');
 QuarantineFile('C:\WINDOWS\SystemRoot\C:\WINDOWS\System32\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\ОЛЕГ\ОЛЕГ.exe','');
BC_ImportAll;
Executerepair(6);
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteSysClean;
BC_Activate;
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.

**thyrex** · 22.12.2009, 23:56

+ к shapel

Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8d7vtp3.exe (gmer)

Код:

l8d7vtp3.exe -del service hsdhbuk
l8d7vtp3.exe -del service vfxiww
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\vfxiww"
l8d7vtp3.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

**pomasannik1** · 23.12.2009, 00:00

shapel, карантин загружен.

**Шапельский Александр** · 23.12.2009, 00:12

Карантин чистый, сделайте контрольный лог Gmer.

**pomasannik1** · 23.12.2009, 00:24

создал cleanup.bat и компьютер перегрузился.
сделал лог gmer.
при сканировании и awz, и gmer выскакивает сообщение, что экзешный файл выполняемой программы повреждён - мол, выполните проверку скандиском для исправления.
при перезагрузке осталась ошибка RCINT failure. String table ID not found. 42 at line 41.
спасибо Вам!

**pig** · 23.12.2009, 00:26

Логи-то где?

**pomasannik1** · 23.12.2009, 00:28

извините, был превышен лимит мегабайт на загрузку, удалил ненужные и залил.

**thyrex** · 23.12.2009, 00:30

В логе gmer чисто

**pomasannik1** · 23.12.2009, 04:59

лог gmer в безопасном сделал, но сохранить не смог - не хватает экрана и не видна кнопка сейва))) разрешение не меняется и прога не растягивается(((

с nissan.exe мы разобрались и диспетчер появился, спасибо.

но комп не перезагружается, уже и не помагает cleanup.bat. и ошибка при загрузке осталась - RCINT failure. String table ID not found. 42 at line 41.
ещё будут предложения?

в чём ещё может быть проблема?

Добавлено через 2 часа 53 минуты

диспетчер снова не работает...

**Шапельский Александр** · 23.12.2009, 09:14

Сделайте комплект логов, + лог MBAM.

**pomasannik1** · 23.12.2009, 16:32

спасибо Вам за терпение!
провёл полную проверку каспером и вэбом с максимальными настройками - обнаружено около 130 зловредов, причём почти все с одним именем(вирус Virus.Win32.Neshta.а), но в разных папках и файлах.
сделал новые логи.
MBAM обнаружил больше 20 заражений, из них Worm.Autorun самый распостранённый.
с нетерпением жду ответа

**pomasannik1** · 23.12.2009, 17:22

кстати, есть ли скрипт для avz на перезагрузку компа?...а то от принудительных перезагрузок кнопкой появляются ошибки о повреждённых файлах.

**Шапельский Александр** · 23.12.2009, 17:53

Удалите в MBAM следующее:

Код:

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\firstinstallflag (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
C:\RECYCLER\S-1-5-21-4994939827-8660285897-319514478-2373\nissan.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\internet.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\ОЛЕГ\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

Сделайте контрольный лог MBAM.

Вирус nissan.exe (заявка № 64640)

Опции темы

Вирус nissan.exe

Антивирусная помощь

Антивирусная помощь

Похожие темы

Вирус nissan.exe?!

nissan.exe

Вирус nissan.exe

nissan.exe

Запускается браузер при загрузке. вирус nissan.exe

Метки для этой темы

Ваши права в разделе