-
Junior Member
- Вес репутации
- 54
После удаления и перезагрузки вирус опять появляется
Здравствуйте!
Касперский находит у меня вирус HEUR.Trojan.Win32.Generic
CureIt находит Trojan.Packed.19845 в папке Documents and Settings\Admin\Local settings\Temp файл размножается с цифровым названием: например 435.exe 980.exe и т.п.
а еще Trojan.MulDrop1.11256 в Temporary Internet Files
После их удаления все нормально, но стоит перезагрузить компьютер они опять лезут.
Логи прилагаются
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\cidrive32.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\066.exe');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
DelBHO('{6B5863A0-C43F-4C0A-982B-CC0E9125783F}');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8952429016-0788414204-724593319-4086\syscr.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\066.exe','');
QuarantineFile('C:\WINDOWS\cidrive32.exe','');
DeleteFile('C:\WINDOWS\cidrive32.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\066.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8952429016-0788414204-724593319-4086\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qstatsrv.dll');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFileMask('c:\docume~1\admin\locals~1\temp','*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке прислать запрошенный карантин вверху темы.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
Сделал новые логи.Карантин отправил
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\557.exe');
QuarantineFile('C:\WINDOWS\system32\sobvmwb.dll','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\x','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0319696928-3222612214-419385111-7102\syscr.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\557.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\557.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0319696928-3222612214-419385111-7102\syscr.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\x');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\sobvmwb.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer + лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\sobvmwb.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
Сохраните текст ниже как 1.bat в ту же папку, где находится yf2elj0w.exe (GMER) и запустите этот батник(1.bat):
Код:
yf2elj0w.exe -del service ytpdglyk
yf2elj0w.exe -del file "C:\WINDOWS\system32\sobvmwb.dll"
yf2elj0w.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ytpdglyk\Parameters"
yf2elj0w.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ytpdglyk"
yf2elj0w.exe -del reg "HKLM\SYSTEM\CurrentControlSet002\Services\ytpdglyk\Parameters"
yf2elj0w.exe -del reg "HKLM\SYSTEM\CurrentControlSet002\Services\ytpdglyk"
yf2elj0w.exe -reboot
Компьютер перезагрузится
После перезагрузки:
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('logon.scr','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-6293463697-9101140980-566248946-5861\syscr.exe');
DeleteFile('C:\WINDOWS\cidrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\ndll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 43 секунды
- Сделайте новый лог Gmer
Последний раз редактировалось polword; 08.04.2010 в 19:37.
Причина: Добавлено
-
-
Дополнительно к советам polword
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\WINDOWS\system32\Instmsv.exe
Driver::
eiovbpxai
yymgx
ytpdglyk
kojrfb
NetSvc::
eiovbpxai
yymgx
ytpdglyk
kojrfb
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8151:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Указания выполнены
-
Срочно нужно устанавливать все обновления, вышедшие после SP3
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\ndll.exe
c:\windows\system32\sobvmwb.dll
Driver::
gzcbavzg
NetSvc::
gzcbavzg
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8151:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Скачал обновления,устал их устанавливатьТеперь стоят все до 1 апреля 2010 включительно.Новый лог сделал
-
Чисто. Проблема решена?
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Спасибо огромное!Вроде все в норме!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-6293463697-9101140980-566248946-5861\syscr.exe - P2P-Worm.Win32.Palevo.aary ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Agent.VB.BIY, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-8952429016-0788414204-724593319-4086\syscr.exe - P2P-Worm.Win32.Palevo.aaos ( DrWEB: Trojan.MulDrop1.11256, BitDefender: Trojan.Agent.APED, AVAST4: Win32:Malware-gen )
- c:\windows\cidrive32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.MulDrop1.11256, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.opx ( DrWEB: Trojan.Packed.19901, BitDefender: Trojan.Agent.VB.BIY, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\ndll.exe - Backdoor.Win32.IRCBot.opx ( DrWEB: Trojan.Packed.19901, BitDefender: Trojan.Agent.VB.BIY, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\msvmcls64.exe - Trojan.Win32.VBKrypt.iw ( DrWEB: Trojan.Packed.19845, BitDefender: Win32.Worm.Kolab.AV, AVAST4: Win32:Malware-gen )
- c:\windows\system32\14.exe - P2P-Worm.Win32.Palevo.aaos ( DrWEB: Trojan.MulDrop1.11256, BitDefender: Trojan.Agent.APED, AVAST4: Win32:Malware-gen )
-