-
Junior Member
- Вес репутации
- 52
помогите возможно вирус zonetech.info
Создал новую тему т.к. на прошлую никто толком не отреагировал. Суть проблемы в том что компьютер с разной периодичностью выдает сообщения "16ти разрядная подсистема MS-DOS" в котором написано что процесор NTVDM нашел недопустимую инструкцию и ссылается на файлы в папке system32 с названиями от 00 до 99. Полазив по интернету сделал вывод что возможно это zonetech.info но хотя прогонял нодом и доктором вебом говорят что все чисто, посоветуйте как избавится от табличек тем более что после их появления упала производительность компьютера.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
-
-
Junior Member
- Вес репутации
- 52
лог по выполненному скрипту
-
Junior Member
- Вес репутации
- 52
Спасибо,после выполнения вашего скрипта таблички перестали вылетать и файлы в system32 больше не появляются но теперь нод ругается на dllhost.exe и Win32/Delf.OXF
Может чтобы не создавать лишнюю тему посмотрите что можно сделать?
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
DeleteFile('C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
DeleteFile('C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
QuarantineFile('C:\RECYCLER\S-1-5-21-3390970716-3448914844-152455061-3589\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\DOCUME~1\Max\LOCALS~1\Temp\nsi5BC.tmp\newadvsplash.dll','');
QuarantineFile('C:\DOCUME~1\Max\LOCALS~1\Temp\nsi5BC.tmp\registry.dll','');
QuarantineFile('C:\DOCUME~1\Max\LOCALS~1\Temp\nsi5BC.tmp\System.dll','');
QuarantineFile('C:\DOCUME~1\Max\LOCALS~1\Temp\Ctl.exe','');
QuarantineFile('c:\program files\normcad\net\nnksrv32.exe','');
QuarantineFile('c:\windows\msa.exe','');
QuarantineFile('c:\docume~1\max\locals~1\temp\ctl.exe','');
QuarantineFile('c:\docume~1\max\locals~1\temp\237.exe','');
QuarantineFile('c:\docume~1\max\locals~1\temp\030.exe','');
DeleteFile('c:\docume~1\max\locals~1\temp\030.exe');
DeleteFile('c:\docume~1\max\locals~1\temp\237.exe');
DeleteFile('c:\docume~1\max\locals~1\temp\ctl.exe');
DeleteFile('c:\windows\msa.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','F5JMWNZTHI');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3390970716-3448914844-152455061-3589\wmfcgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
прислал файлы карантина. вот новые логи AVZ
-
Уже лучше.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8072898243-9033832891-645548155-5845\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8072898243-9033832891-645548155-5845\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
Карантин чистый да и видимых проблем больше вроде нет. Большое спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\max\locals~1\temp\ctl.exe - Trojan.Win32.FraudPack.akqv ( DrWEB: Trojan.DownLoad1.35777, AVAST4: Win32:MalOb-AJ [Cryp] )
- c:\docume~1\max\locals~1\temp\030.exe - P2P-Worm.Win32.Palevo.phq ( DrWEB: Trojan.DownLoad.41920, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:VB-OKI [Drp] )
- c:\docume~1\max\locals~1\temp\237.exe - P2P-Worm.Win32.Palevo.phq ( DrWEB: Trojan.DownLoad.41920, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:VB-OKI [Drp] )
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan-Downloader.Win32.CodecPack.kom ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Win32.Worm.Palevo.W, NOD32: Win32/Peerfrag.BL worm )
- c:\recycler\s-1-5-21-3390970716-3448914844-152455061-3589\wmfcgr.exe - P2P-Worm.Win32.Palevo.phq ( DrWEB: Trojan.DownLoad.41920 )
- c:\windows\msa.exe - Trojan.Win32.Agent.dgoe ( DrWEB: Trojan.DownLoad1.35695, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sshnas21.dll - Trojan.Win32.FraudPack.akrz
- c:\windows\system32\umdmgr.exe - P2P-Worm.Win32.Palevo.phq ( DrWEB: Trojan.DownLoad.41920 )
-