Показано с 1 по 11 из 11.

Nod периодически находит fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит на 50% ЦП. (заявка № 73165)

  1. #1
    Junior Member Репутация Репутация Репутация
    Регистрация
    09.03.2010
    Сообщений
    5
    Вес репутации
    54

    Exclamation Nod периодически находит fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит на 50% ЦП.

    Нод начал переодически находить эту гадость fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит цп
    на 50%.Кусок лога нода приведен.
    09.03.2010 1210 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
    25.02.2010 13:56:45 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
    24.02.2010 13:28:58 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
    23.02.2010 15:04:02 Real-time file system protection file C:\WINDOWS\system32\drivers\aec.sys a variant of Win32/Rootkit.Kryptik.AF trojan unable to clean NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\IEXPLORE.EXE.
    23.02.2010 15:03:48 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.

    После запуска стандартного скрипта в AVZ нашелся один вирус в автозагрузке и svhost уже не грузит цп.Не могли бы вы подсказать остались ли еще хвосты?Логи привожу.Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\winesm32.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\~TMA6.tmp','');
     DeleteFile('C:\WINDOWS\TEMP\~TMA6.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\winesm32.exe');
     DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\monnid32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

    Сделайте лог Gmer!!

  4. #3
    Junior Member Репутация Репутация Репутация
    Регистрация
    09.03.2010
    Сообщений
    5
    Вес репутации
    54
    Скрипт выполнил,карантин отправил,логи прикладываю.Вот только gmer у меня ноут в синий экран выносит Спасибо!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Скачайте утилиту и запустите--http://support.kaspersky.ru/kis2009/error?qid=208636215
    Затем пробуйте сделать лог Gmer.

    Добавлено через 6 минут

    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\svhost.exe','');
     DeleteFile('C:\WINDOWS\svhost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Шапельский Александр; 10.03.2010 в 16:07. Причина: Добавлено

  6. #5
    Junior Member Репутация Репутация Репутация
    Регистрация
    09.03.2010
    Сообщений
    5
    Вес репутации
    54
    Кидокилер ничего не нашел, gmer в нормальном режиме так и вылетает в синий экран,а вот в сейф моде под админом запускается,лог ниже прикладываю.Скрипт выполнил,логи считал,приложил.Тенкс

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится o6tmomft.exe (gmer)
    Код:
    o6tmomft.exe -del service  dlmbwysy  
    o6tmomft.exe -del file "C:\WINDOWS\system32\drivers\dlmbwysy.sys"
    o6tmomft.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dlmbwysy"
    o6tmomft.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dlmbwysy"
    o6tmomft.exe -reboot
    И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer

  8. #7
    Junior Member Репутация Репутация Репутация
    Регистрация
    09.03.2010
    Сообщений
    5
    Вес репутации
    54
    Через батник не получилось ,ругалось на нет такой службы и файла,остановил и удалил службу руками.dlmbwysy.sys на всякий случай заархивировал и сохранил.gmer по прежнему запускается только в сейфмоде до конца проверить файлы не успел надо с работы уходить,но в них вроде изменений никаких не должно быть.лог gmer привожу.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от Razorua Посмотреть сообщение
    dlmbwysy.sys на всякий случай заархивировал и сохранил
    Установите на архив пароль virus и закачайте по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Проверим, что за драйвер.

    Добавлено через 53 секунды

    В логе чисто, что с проблемой?
    Последний раз редактировалось Шапельский Александр; 10.03.2010 в 21:31. Причина: Добавлено

  10. #9
    Junior Member Репутация Репутация Репутация
    Регистрация
    09.03.2010
    Сообщений
    5
    Вес репутации
    54
    Архив с паролем virus закачал и положил туда кусочек реестра на всякий случай.С системой щас вроде все отлично.Поживем увидим.Огромное спасибо.
    п.с. если не трудно потом будет написать что за зверь такой,или кинуть ссылку на инфу о нем,просто любопытство.
    Последний раз редактировалось Razorua; 11.03.2010 в 15:11. Причина: добавил

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Результат анализа файла dlmbwysy.sys: KIS 2009=Зловред Rootkit.Win32.Agent.bdov; DrWEB 5.0=Файл чистый; VBA32=Файл чистый; BitDefender=Зловред Rootkit.Nixoa.A; NOD32=Подозрение Win32/Rootkit.Kryptik.AF trojan; Avast4=Зловред Win32:Rootkit-gen [Rtk]

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. \dlmbwysy.sys - Rootkit.Win32.Agent.bdov ( DrWEB: Trojan.NtRootKit.6360, BitDefender: Rootkit.34159, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Razorua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. NOD периодически находит вирусы.
      От anat9 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.11.2011, 20:26
    2. Ответов: 13
      Последнее сообщение: 01.11.2011, 16:51
    3. Периодически выскакивает ошибка svhost.exe
      От begemot1981 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.02.2011, 15:47
    4. NOD32 периодически чтото находит
      От Denys в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.12.2010, 18:21
    5. Периодически svchost.exe грузит проц. до 100%...
      От Antoxa73 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.11.2009, 00:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01200 seconds with 17 queries