Букет вирусов на ноутбуке
1. Файлы ".exe из цифр в списке процессов.
2. ESS 3.0.695 после установки удаляет эти файлы, но сам повреждается после после первой же перезагрузки, и приходится его переустанавливать.
3. Пока NOD32 функционирует, при подключении к Интернету он блокирует некоторые ссылки. Обновить базы антивируса не получается.
4. DrWeb тоже что-то удаляет, но странные файлы типа csrsc.exe остаются в памяти.
5. Компьютер периодически зависает в непредсказуемый момент.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ОТКЛЮЧИТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ !
Выполните скрипт
После перезагрузки выполните второй скриптКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\EZ3EBOSKUT\F001.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\pcidump.sys',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UM5NXX0P\F001[1].exe',''); QuarantineFile('Explorer.exe C:\WINDOWS\csrsc.exe',''); QuarantineFile('C:\WINDOWS\system32\scvhost.exe',''); QuarantineFile('C:\WINDOWS\system32\anitsvstart.dll',''); QuarantineFile('C:\WINDOWS\system32\RbmutvC.dll',''); QuarantineFile('C:\WINDOWS\system32\BrZPoUlsGvb.dll',''); QuarantineFile('C:\WINDOWS\System32\logon.scr',''); StopService('acpi24'); StopService('frrd'); DeleteService('acpi24Drv'); QuarantineFile('C:\WINDOWS\system32\acpi24.sys',''); DeleteService('vsr'); QuarantineFile('C:\WINDOWS\system32\WMAGWRMEJC\eoo1.exe',''); DeleteService('vsfd'); QuarantineFile('C:\WINDOWS\system32\WMAGWRMEJC\F001.exe',''); DeleteService('vsd'); QuarantineFile('C:\WINDOWS\system32\WMAGWRMEJC\J002.exe',''); DeleteService('VMservices'); QuarantineFile('C:\WINDOWS\system32\panp.exe',''); DeleteService('acpi24'); QuarantineFile('C:\WINDOWS\system32\acpi24.exe',''); DeleteService('frrd'); QuarantineFile('C:\WINDOWS\system32\z\B7878.exe',''); QuarantineFile('c:\windows\system32\brzpoulsgvb.dll',''); QuarantineFile('c:\windows\system32\anitsvstart.dll',''); QuarantineFile('c:\windows\system32\gctwimaxserviced.exe',''); QuarantineFile('c:\windows\csrsc.exe',''); TerminateProcessByName('c:\windows\csrsc.exe'); QuarantineFile('c:\windows\system32\z\b7878.exe',''); TerminateProcessByName('c:\windows\system32\z\b7878.exe'); QuarantineFile('c:\windows\system32\77734.exe',''); TerminateProcessByName('c:\windows\system32\77734.exe'); DeleteFile('c:\windows\system32\77734.exe'); DeleteFile('c:\windows\system32\z\b7878.exe'); DeleteFile('c:\windows\csrsc.exe'); DeleteFile('c:\windows\system32\anitsvstart.dll'); DeleteFile('c:\windows\system32\brzpoulsgvb.dll'); DeleteFile('C:\WINDOWS\system32\z\B7878.exe'); DeleteFile('C:\WINDOWS\system32\acpi24.exe'); DeleteFile('C:\WINDOWS\system32\panp.exe'); DeleteFile('C:\WINDOWS\system32\WMAGWRMEJC\J002.exe'); DeleteFile('C:\WINDOWS\system32\WMAGWRMEJC\eoo1.exe'); DeleteFile('C:\WINDOWS\system32\acpi24.sys'); DeleteFile('C:\WINDOWS\system32\BrZPoUlsGvb.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ufad-dns60\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\RbmutvC.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\anitsvstart.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AniSrv\Parameters','ServiceDll'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UM5NXX0P\F001[1].exe'); DeleteFile('C:\WINDOWS\system32\drivers\pcidump.sys'); DeleteFile('C:\WINDOWS\system32\EZ3EBOSKUT\F001.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Закачайте полученный карантин по красной ссылке вверху. Повторите логиКод:Begin CreateQurantineArchive('C:\quarantine.zip'); End.
The Truth is Out There
Извините, протупил с отключением восстановления системы.
После применения основного скрипта "ехе-файл с цифрами" в списке процессов опять появился.
Карантин закачал, получили?
Новые логи во вложениях.
И еще, Nod32 по-прежнему "слетает" после перезагрузки, а в трэе не появляется "регулятор аудио" и "настройка аудио".
Проверка DrWeb удаляет кучу "цифровых" ехешников в C:\Windows\System32 с Trojan DownLoader1.1999, еще и какой-то fusou.exe там появился.
Последний раз редактировалось popusta; 17.04.2010 в 21:46.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог во вложении.
Система вроде ожила - сказала об отключенном обновлении, в трэе прорисовались все значки.
Попробую снова установить Нод32...
Лог virusinfo_syscheck повторите
The Truth is Out There
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\msn281.exe c:\windows\system32\svstn.exe c:\windows\system32\YbTMadAWBGMVIA.dll c:\windows\system32\kSUmGHphvgMNVGV.dll c:\windows\system32\UwXsJknqGiHYq.dll c:\windows\system32\anitsclib.dll c:\windows\system32\WMAGWRMEJC\F001.exe Driver:: vsfd AniSrv Folder:: c:\windows\system32\EZ3EBOSKUT c:\windows\system32\JOJKKG2ENK c:\windows\system32\1T6K0JT7QN c:\windows\system32\WMAGWRMEJC c:\windows\system32\z Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "AniSrv"=- "Kernels"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Последние логи во вложении.
Система вроде работает устойчиво.
Nod32 установился и не слетает - попробую обновить его базы.
Скрипт для ComboFix из сообщения №8 почему не выполнили?
Выполните в обязательном порядке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Как же не выполнил? Как раз выполнил. Так всё красиво наложилось и сработалоСообщение от thyrex
В сообщении №10 я прикреплял именно новый лог, который создан в 23:01:34:
"Command switches used :: c:\documents and settings\Администратор\Рабочий стол\CFScript.txt" - у меня все хода записаны ))
Предыдущий лог был в 21:50.
Уточните, где моя ошибка )
Последний раз редактировалось popusta; 18.04.2010 в 00:37.
Повторите еще раз рекомендацию из сообщения №8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Кажется, получилось.
Вот теперь другое дело
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Пофиксите в HiJack
Обновите JavaREКод:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
Если проблем не осталось, выписываем Вас из лазарета
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Мыло отправил. Получилось приличное вложение - порядка 5 Мб.
ComboFix удалил, в HJ строку пофиксил, Java обновил.
Всё работает, спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 54
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\um5nxx0p\f001[1].exe - Backdoor.Win32.Krafcot.ov ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
- c:\windows\csrsc.exe - Trojan-Downloader.Win32.Agent.dldf ( DrWEB: Trojan.DownLoad1.54291, BitDefender: Trojan.Generic.3653357, AVAST4: Win32:Malware-gen )
- c:\windows\system32\anitsvstart.dll - Trojan-Downloader.Win32.Agent.dljj ( DrWEB: Trojan.DownLoader1.5889, BitDefender: DeepScan:Generic.Peed.A4838A1A )
- c:\windows\system32\brzpoulsgvb.dll - Trojan.Win32.Veslorn.uw
- c:\windows\system32\ez3eboskut\f001.exe - Backdoor.Win32.Krafcot.ov ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
- c:\windows\system32\scvhost.exe - Trojan.Win32.KillAV.gca ( BitDefender: Trojan.Generic.KD.7039, AVAST4: Win32:Malware-gen )
- c:\windows\system32\z\b7878.exe - Trojan.Win32.Scar.bznj ( DrWEB: Trojan.DownLoad1.53651, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
- c:\windows\system32\77734.exe - Trojan-Downloader.Win32.Geral.pzo ( DrWEB: Trojan.DownLoader1.1999, BitDefender: Trojan.Downloader.Agent.ZAW, AVAST4: Win32:Agent-AEVX [Trj] )
Уважаемый(ая) popusta, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
