-
Junior Member
- Вес репутации
- 53
Неизвестный перехватчик в ntfs потоках
Началось все с того что при подключении к инету начал зверски утекать трафик....сканировал различными утилитами, проблема ушла. В результате всех сканов обнаружился троян svchost.exe:exe.exe$DATA, однако находил его только prevx (прога платная). Сегодня просканировал систему с помощью Kaspersky Removal Tool. Обнаружилось два трояна которые до этого безуспешно пытался удалить вручную (rygejo.exe и vucoocennur.exe в папке system32). Касперский успешно удалил первый и написал что невозможно удалить второй....повторная проверка ничего не нашла.
AVZ как показывал раньше так и показывает после всех способов лечения неизвестный перехватчик в нтфс потоках.....и еще какой то в оперативной памяти....логи прилагаю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vucoocennur.exe','');
SetServiceStart('amyiure4pceakjyy', 4);
DeleteService('amyiure4pceakjyy');
StopService('amyiure4pceakjyy');
DeleteService('pxkbf');
SetServiceStart('pxkbf', 4);
StopService('pxkbf');
QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\bqvkfsph.sys','');
DeleteService('bqvkfsph');
QuarantineFile('C:\WINDOWS\System32\Drivers\bvcaircv.sys','');
DeleteService('bvcaircv');
QuarantineFile('C:\WINDOWS\System32\Drivers\evocqoco.sys','');
DeleteService('evocqoco');
QuarantineFile('C:\WINDOWS\System32\Drivers\hqhfevwu.sys','');
DeleteService('hqhfevwu');
QuarantineFile('C:\WINDOWS\System32\Drivers\lolxigds.sys','');
DeleteService('lolxigds');
QuarantineFile('C:\WINDOWS\System32\Drivers\uqhvnjdq.sys','');
DeleteService('uqhvnjdq');
DelBHO('{1D868E7A-58F1-406A-A16A-BD32A5E369FD}');
QuarantineFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL','');
DeleteFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL');
DeleteFile('C:\WINDOWS\System32\Drivers\uqhvnjdq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lolxigds.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hqhfevwu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\evocqoco.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bvcaircv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bqvkfsph.sys');
DeleteFile('C:\WINDOWS\system32\vucoocennur.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
профиксить:
Код:
O4 - HKLM\..\Run: [rogoukouj] C:\WINDOWS\system32\fujoomave.exe
O4 - HKLM\..\RunServices: [rogoukouj] C:\WINDOWS\system32\fujoomave.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('zsfxxtoi7');
QuarantineFile('C:\WINDOWS\system32\drivers\zsfxxtoi7.sys','');
DeleteService('uqhvnjdq');
QuarantineFile('C:\WINDOWS\System32\Drivers\uqhvnjdq.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lolxigds.sys','');
DeleteService('lolxigds');
DeleteService('hqhfevwu');
QuarantineFile('C:\WINDOWS\System32\Drivers\hqhfevwu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\evocqoco.sys','');
DeleteService('bvcaircv');
QuarantineFile('C:\WINDOWS\System32\Drivers\bqvkfsph.sys','');
SetServiceStart('bqvkfsph', 4);
QuarantineFile('C:\WINDOWS\system32\roubur.exe','');
QuarantineFile('C:\WINDOWS\system32\vucoocennur.exe','');
DeleteFile('C:\WINDOWS\system32\vucoocennur.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\bqvkfsph.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bvcaircv.sys');
DeleteFile('C:\WINDOWS\TEMP\catchme.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lolxigds.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uqhvnjdq.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zsfxxtoi7.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по ПРавилам.
Повторить логи после перезагрузки.
Последний раз редактировалось PavelA; 20.02.2010 в 20:09.
Причина: Третьим оказался, но удалять не буду.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал.....логи после первого скрипта
Последний раз редактировалось prorock8; 20.02.2010 в 22:47.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\roubur.exe','');
QuarantineFile('C:\WINDOWS\system32\fujoomave.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\zsfxxtoi7.sys','');
DeleteService('zsfxxtoi7');
DeleteFile('C:\WINDOWS\system32\drivers\zsfxxtoi7.sys');
DeleteFile('C:\WINDOWS\system32\fujoomave.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rogoukouj');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','rogoukouj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Забыл....еще периодически вылазит сообщение: 16-разрядная подсистема MS-DOS C:\Windows\system32\cmd.exe Процессор NTDVM обнаружил недопустимую инструкцию
Проблема с нтфс не ушла.
-
Сообщение от
prorock8
AVZ как показывал раньше так и показывает после всех способов лечения неизвестный перехватчик в нтфс потоках.
С этим все нормально
В логах ничего плохого не увидел
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 27
- В ходе лечения вредоносные программы в карантинах не обнаружены
-