Junior Member
Вес репутации
56
Jjdrive & Co
Переустановил систему на буке и обнаружил в диспетчере задач "левые" процессы.CureIt нашёл и обезвредил пару десятков троянов,но похоже не все.Полную проверку не даёт сделать BSOD "driver irql not less or equal",в безопасный режим не впускает по той же причине
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
QuarantineFile('IntelIde.sys', 'CHQ=N');
QuarantineFile('logon.scr', 'CHQ=N');
QuarantineFile('G:\RECYCLING\autorun.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\.exe', 'CHQ=N');
QuarantineFile('D:\WINDOWS\System32\3DWIND~1.SCR', 'CHQ=N');
QuarantineFile('d:\windows\system32\avsys.exe', 'CHQ=N');
QuarantineFile('D:\WINDOWS\system32\clipsrv.exe', 'CHQ=N');
QuarantineFile('D:\WINDOWS\system32\msdtc.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\sol.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\umdmgr.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\upd32.exe', 'CHQ=N');
QuarantineFile('G:\autorun.inf', 'CHQ=N');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe', 'CHQ=N');
QuarantineFile('D:\RECYCLER\S-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe', 'CHQ=N');
QuarantineFile('D:\Program Files\Internet Explorer\IEXPLORE.EXE', 'CHQ=N');
BC_QrFile('G:\RECYCLING\autorun.exe');
BC_QrFile('G:\autorun.inf');
BC_QrFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
BC_QrFile('D:\RECYCLER\S-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe');
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
Junior Member
Вес репутации
56
Скрипт выполнил.Карантин с горем пополам отправил.Интернет практически не работает (
Сделал новые логи.
Будем лечиться ...
1.выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('d:\windows\system32\.exe');
DeleteFile('d:\windows\system32\avsys.exe');
DeleteFile('d:\windows\jjdrive32.exe');
DeleteFile('d:\windows\system32\sol.exe');
DeleteFile('d:\windows\system32\umdmgr.exe');
DeleteFile('d:\windows\system32\upd32.exe');
DeleteFile('D:\WINDOWS\jjdrive32.exe');
DeleteFile('D:\WINDOWS\system32\avsys.exe');
DeleteFile('D:\WINDOWS\system32\sol.exe');
DeleteFile('D:\WINDOWS\system32\umdmgr.exe');
DeleteFile('D:\WINDOWS\system32\upd32.exe');
DeleteFile('D:\WINDOWS\system32\logon.scr');
DeleteFile('D:\Program Files\Internet Explorer\IEXPLORE.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe');
DeleteFile('D:\WINDOWS\System32\drwtsn32.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLING\autorun.exe');
DeleteFile('D:\WINDOWS\System32\3D Windows XP.scr');
DeleteFile('D:\WINDOWS\System32\3DWIND~1.SCR');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upd32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','611');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','199');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','626');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
2. Скачайте AVPTool и пролечите им ПК (зловред патчит файлы, заражая их - и где-то на диске могут быть еще подобные)
3. повторите логи
Последний раз редактировалось Зайцев Олег; 21.02.2010 в 23:42 .
Junior Member
Вес репутации
56
Нда.Полдня убил на этого зловреда (
Выполнил скрипт,проверил систему и все разделы жёсткого диска AVPToolом.Нашёл в общей сложности около 200 гадов.Повторная проверка снова находит в автозагрузке и на основном разделе те же самые (~30 штук).И так до бесконечности (
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
56
Junior Member
Вес репутации
56
Безопасный режим так и выносит bsod,видимо придётся опять систему сносить (
CureIt вроде чисто показывает.Посмотрите логи.
Вложения
Обновления безопасности стоят на системе?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Нет,система чистая.Даже драйвера не все установлены ещё
Сеть просто у Вас заражена, вот и ловите зверье в огромном количестве.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Что можете посоветовать?kis?фаервол?
Сообщение от
андрей викторыч
Что можете посоветовать?kis?фаервол?
1. комплексное решение типа KIS 2010
2. Если протокол MS не нужен и не применяется, то отключить его в свойствах сетевыхподключений - Инет останется, а всякие сететвые червяки не будут заползать. Но это неприемлемло в корпоративной среде
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 19 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - P2P-Worm.Win32.Palevo.rmm ( DrWEB: Win32.HLLW.Lime.187, BitDefender: Worm.Generic.227674, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen ) d:\program files\internet explorer\iexplore.exe - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos ) d:\recycler\s-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe - P2P-Worm.Win32.Palevo.siz ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] ) d:\windows\system32\avsys.exe - Trojan.Win32.Buzus.dhbg ( DrWEB: Trojan.Packed.19716, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Wmit-C [Trj] ) d:\windows\system32\.exe - Trojan.Win32.Buzus.dhbg ( DrWEB: Trojan.Packed.19716, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Wmit-C [Trj] ) d:\windows\system32\logon.scr - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos ) d:\windows\system32\sol.exe - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos ) d:\windows\system32\umdmgr.exe - Trojan.Win32.Buzus.dhbf ( DrWEB: Trojan.MulDrop.64730, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] ) d:\windows\system32\upd32.exe - Trojan.Win32.Buzus.dhbi ( DrWEB: Trojan.Packed.19716, BitDefender: Trojan.Inject.WX, AVAST4: Win32:Wmit-C [Trj] ) d:\windows\system32\3d windows xp.scr - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos ) d:\windows\system32\3dwind~1.scr - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos ) g:\autorun.inf - Trojan.Win32.AutoRun.to ( BitDefender: Trojan.Script.232297, NOD32: INF/Autorun virus ) g:\recycling\autorun.exe - P2P-Worm.Win32.Palevo.siz ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] )