Junior Member
Вес репутации
52
jjdrive32.exe+Win32.HHLW.Lime, Win32.Polipos
здравствуйте
в процессах при включении компа появились процессы cmd.exe, ufdmng.exe, wmfcgr.exe, которые вместе или по отдельности на 100% грузили систему, а так же процесс jjdrive32.exe, который препятствовал обычной работе в Сети (не запускаются приложения, не загружаются страницы в браузере)
при сканировании системы утилитой cureIt обнаружен Win32.Polipos
последующая переустановка винды с форматированием диска с системой результатов не дала. + cureit выявил Win32.HLLW.Lime 8
Win32.HLLW.Lime 18, Win32.HLLW.Lime 187
спасибо)
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\recycler\s-1-5-21-4119210516-7111537165-296655910-0134\sysdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\DOCUME~1\nishe\LOCALS~1\Temp\Yj2N48c4.sys','');
DeleteFile('C:\DOCUME~1\nishe\LOCALS~1\Temp\Yj2N48c4.sys');
DeleteFile('c:\recycler\s-1-5-21-4119210516-7111537165-296655910-0134\sysdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
52
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6371368565-2275362123-336000564-0871\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('c:\windows\jjdrive32.exe','');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\RECYCLER\S-1-5-21-6371368565-2275362123-336000564-0871\wmfcgr.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
BC_ImportAll;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Junior Member
Вес репутации
52
C:\WINDOWS\system32\ufdmgr.exe -пришлите согласно приложения 2 правил ...
Junior Member
Вес репутации
52
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ufdmgr.exe');
DeleteFile('c:\windows\system32\ufdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','f2b');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Junior Member
Вес репутации
52
логи.
кстати, в папке систем32 множество файлов 12.exe.....99.exe.
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe,C:\RECYCLER\S-1-5-21-6811611180-7805190793-426273415-5642\sysdrv.exe,C:\RECYCLER\S-1-5-21-0842421000-3035378886-032810802-0327\sysdrv.exe,C:\RECYCLER\S-1-5-21-6252212843-6594594426-714549781-8171\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe,C:\RECYCLER\S-1-5-21-6811611180-7805190793-426273415-5642\sysdrv.exe,C:\RECYCLER\S-1-5-21-0842421000-3035378886-032810802-0327\sysdrv.exe,C:\RECYCLER\S-1-5-21-6252212843-6594594426-714549781-8171\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe');
DeleteFile('c:\windows\jjdrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
52
сделайте полную проверку cureit в safe mode затем новые логи
Junior Member
Вес репутации
52
?? при загрузке системы проводник автоматически начал открывать "мои документы" (восстановление окон при старте отключено)
новые логи.
Junior Member
Вес репутации
52
снова в процессах появились jjdrive и ufdmng
плюс к ним upd32.exe и avsys.exe
Добавлено через 7 часов 19 минут
так. теперь посканила avz.
ко всему прочему обнаружился P2P-Worm.Win32.Palevo.rmm
Последний раз редактировалось nishe; 22.02.2010 в 01:53 .
Причина: Добавлено
Junior Member
Вес репутации
52
просканировала еще раз.
новые логи.
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
C:\WINDOWS\system32\shmgrate.exe - пришлите соглсно приложения 2 правил
Junior Member
Вес репутации
52
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('TlntSvr');
DelBHO('{e2e2dd38-d088-4134-82b7-f2ba38496583}');
DeleteFile('C:\WINDOWS\Network Diagnostic\xpnetdiag.exe');
DeleteFile('C:\WINDOWS\system32\shmgrate.exe');
DeleteFile('C:\WINDOWS\system32\progman.exe');
DeleteFile('C:\WINDOWS\system32\tlntsvr.exe');
DeleteFile('C:\WINDOWS\system32\cmd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
52
Вложения
выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
DelCLSID('881dd1c5-3dcf-431b-b061-f3f88e8be88a');
DelCLSID('26923b43-4d38-484f-9b9e-de460746276c');
DeleteFile('C:\WINDOWS\system32\shmgrate.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
virusinfo_syscheck.zip повторите