-
Nod периодически находит fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит на 50% ЦП.
Нод начал переодически находить эту гадость fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит цп
на 50%.Кусок лога нода приведен.
09.03.2010 1210 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
25.02.2010 13:56:45 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
24.02.2010 13:28:58 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
23.02.2010 15:04:02 Real-time file system protection file C:\WINDOWS\system32\drivers\aec.sys a variant of Win32/Rootkit.Kryptik.AF trojan unable to clean NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\IEXPLORE.EXE.
23.02.2010 15:03:48 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
После запуска стандартного скрипта в AVZ нашелся один вирус в автозагрузке и svhost уже не грузит цп.Не могли бы вы подсказать остались ли еще хвосты?Логи привожу.Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\winesm32.exe','');
QuarantineFile('C:\WINDOWS\TEMP\~TMA6.tmp','');
DeleteFile('C:\WINDOWS\TEMP\~TMA6.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\winesm32.exe');
DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\monnid32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer!!
-
-
Скрипт выполнил,карантин отправил,логи прикладываю.Вот только gmer у меня ноут в синий экран выносит Спасибо!
-
Скачайте утилиту и запустите--http://support.kaspersky.ru/kis2009/error?qid=208636215
Затем пробуйте сделать лог Gmer.
Добавлено через 6 минут
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svhost.exe','');
DeleteFile('C:\WINDOWS\svhost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Последний раз редактировалось Шапельский Александр; 10.03.2010 в 16:07.
Причина: Добавлено
-
-
Кидокилер ничего не нашел, gmer в нормальном режиме так и вылетает в синий экран,а вот в сейф моде под админом запускается,лог ниже прикладываю.Скрипт выполнил,логи считал,приложил.Тенкс
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится o6tmomft.exe (gmer)
Код:
o6tmomft.exe -del service dlmbwysy
o6tmomft.exe -del file "C:\WINDOWS\system32\drivers\dlmbwysy.sys"
o6tmomft.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dlmbwysy"
o6tmomft.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dlmbwysy"
o6tmomft.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer
-
-
Через батник не получилось ,ругалось на нет такой службы и файла,остановил и удалил службу руками.dlmbwysy.sys на всякий случай заархивировал и сохранил.gmer по прежнему запускается только в сейфмоде до конца проверить файлы не успел надо с работы уходить,но в них вроде изменений никаких не должно быть.лог gmer привожу.
-
Сообщение от
Razorua
dlmbwysy.sys на всякий случай заархивировал и сохранил
Установите на архив пароль virus и закачайте по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Проверим, что за драйвер.
Добавлено через 53 секунды
В логе чисто, что с проблемой?
Последний раз редактировалось Шапельский Александр; 10.03.2010 в 21:31.
Причина: Добавлено
-
-
Архив с паролем virus закачал и положил туда кусочек реестра на всякий случай.С системой щас вроде все отлично.Поживем увидим.Огромное спасибо.
п.с. если не трудно потом будет написать что за зверь такой,или кинуть ссылку на инфу о нем,просто любопытство.
Последний раз редактировалось Razorua; 11.03.2010 в 15:11.
Причина: добавил
-
Результат анализа файла dlmbwysy.sys: KIS 2009=Зловред Rootkit.Win32.Agent.bdov; DrWEB 5.0=Файл чистый; VBA32=Файл чистый; BitDefender=Зловред Rootkit.Nixoa.A; NOD32=Подозрение Win32/Rootkit.Kryptik.AF trojan; Avast4=Зловред Win32:Rootkit-gen [Rtk]
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- \dlmbwysy.sys - Rootkit.Win32.Agent.bdov ( DrWEB: Trojan.NtRootKit.6360, BitDefender: Rootkit.34159, AVAST4: Win32:Rootkit-gen [Rtk] )
-