Показано с 1 по 13 из 13.

Вирус Win32:VB-OWZ (заявка № 77530)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2008
    Сообщений
    17
    Вес репутации
    34

    Thumbs up Вирус Win32:VB-OWZ

    Здравствуйте.
    Проблема: на компьютере обнаружился вирус Win32:VB-OWZ. На компьтере установлен антивирус Аваст. Он детектит вирус, но никак не может его удалить. Вирус постоянно создает новые файлы с числовыми названиями.
    Так же в диспетчере задач - приложения - постоянно после загрузки висит приложение "unwanted instance" (можно снять задачу)
    Последний раз редактировалось LostTime; 02.05.2010 в 19:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,355
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\cidrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\60.exe','');
     QuarantineFile('C:\WINDOWS\system32\78.exe','');
     QuarantineFile('C:\WINDOWS\system32\36.exe','');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     QuarantineFile('C:\WINDOWS\system32\23.exe','');
     QuarantineFile('C:\WINDOWS\system32\41.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8529822993-3392390295-716119458-7330\playncr.exe,C:\RECYCLER\S-1-5-21-2205885646-8755824384-741669867-2321\playncr.exe,C:\RECYCLER\S-1-5-21-1158964049-9661976486-407485167-7016\syscr.exe,C:\RECYCLER\S-1-5-21-2572669826-2977258297-148420055-7919\playncr.exe,C:\RECYCLER\S-1-5-21-9539142136-5846581041-473934463-4061\syscr.exe,C:\RECYCLER\S-1-5-21-6644934595-5508834430-047493534-1377\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8529822993-3392390295-716119458-7330\playncr.exe','');
     TerminateProcessByName('c:\windows\system32\scdll.exe');
     QuarantineFile('c:\windows\system32\scdll.exe','');
     TerminateProcessByName('c:\windows\cidrive32.exe');
     QuarantineFile('c:\windows\cidrive32.exe','');
     DeleteFile('c:\windows\cidrive32.exe');
     DeleteFile('c:\windows\system32\scdll.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-8529822993-3392390295-716119458-7330\playncr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-8529822993-3392390295-716119458-7330\playncr.exe,C:\RECYCLER\S-1-5-21-2205885646-8755824384-741669867-2321\playncr.exe,C:\RECYCLER\S-1-5-21-1158964049-9661976486-407485167-7016\syscr.exe,C:\RECYCLER\S-1-5-21-2572669826-2977258297-148420055-7919\playncr.exe,C:\RECYCLER\S-1-5-21-9539142136-5846581041-473934463-4061\syscr.exe,C:\RECYCLER\S-1-5-21-6644934595-5508834430-047493534-1377\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','65');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','15');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','78');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     DeleteFile('C:\WINDOWS\system32\36.exe');
     DeleteFile('C:\WINDOWS\system32\78.exe');
     DeleteFile('C:\WINDOWS\system32\60.exe');
     DeleteFile('C:\WINDOWS\cidrive32.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    19.11.2008
    Сообщений
    17
    Вес репутации
    34
    Карантин выслал:

    Файл сохранён как 100502_204120_virus_4bddab30d0491.zip
    Размер файла 1134046
    MD5 11abf299475b5bdb686e2c97bd0b3be0

    Пока делал новые логи, пару раз аваст детектил вирус 768.exe и 831.exe (уже после того как скрипт который вы тут написали запускал).

    Незнаю поможет ли это: внезапно поменялся стиль виндоса, т.е. из XP стиля в классический..после перезагрузки опять xp.

    Сделал новые логи.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,355
    Вес репутации
    3019
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\RECYCLER\S-1-5-21-6062384122-4530198140-348387377-7996\syscr.exe
    c:\windows\system32\81.exe
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    19.11.2008
    Сообщений
    17
    Вес репутации
    34
    Сделал все как написано выше. Но не уверен, что получилось правильно..
    После того как перетащил блакнот на КомбоФикс, комп перезагрузился и после перезагрузки ПО-МОЙМУ пошла обычная проверка, а не скрипт...мб ошибаюсь...Вот новый лог

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,355
    Вес репутации
    3019
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\scdll.exe
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Новые логи AVZ тоже сделайте после выполнения скрипта ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    19.11.2008
    Сообщений
    17
    Вес репутации
    34
    Сделал. Выкладываю логи:

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,355
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\REMOVE.SYS','');
     DeleteService('REMOVE');
     DeleteFile('C:\WINDOWS\system32\drivers\REMOVE.SYS');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2008
    Сообщений
    17
    Вес репутации
    34
    В карантине пусто...
    Вот новые логи:

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,355
    Вес репутации
    3019
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    19.11.2008
    Сообщений
    17
    Вес репутации
    34
    Проблема вроде решена.. Большое спасибо тебе и вашему сайту

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,355
    Вес репутации
    3019
    Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-8529822993-3392390295-716119458-7330\playncr.exe - Trojan.Win32.VBKrypt.oo ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.3842625, AVAST4: Win32:Malware-gen )
      2. c:\windows\cidrive32.exe - Trojan.Win32.VBKrypt.on ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.IRCBot.ACTR, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\scdll.exe - Worm.Win32.AutoRun.bgtf ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Trojan-gen )
      4. c:\windows\system32\21.exe - Trojan.Win32.VBKrypt.ol ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
      5. c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.aedd ( DrWEB: Trojan.DownLoad.35732, BitDefender: Worm.P2P.Palevo.DY, AVAST4: Win32:Malware-gen )
      6. c:\windows\system32\36.exe - Trojan.Win32.VBKrypt.ol ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
      7. c:\windows\system32\41.exe - P2P-Worm.Win32.Palevo.aedd ( DrWEB: Trojan.DownLoad.35732, BitDefender: Worm.P2P.Palevo.DY, AVAST4: Win32:Malware-gen )
      8. c:\windows\system32\53.exe - Worm.Win32.AutoRun.bgtf ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Trojan-gen )
      9. c:\windows\system32\60.exe - Trojan.Win32.VBKrypt.ol ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
      10. c:\windows\system32\78.exe - Worm.Win32.AutoRun.bgtf ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) LostTime, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус Trojan:win32/vundo.MF и Hack Tool:win32/Wpakill.B (заявка №67266)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 23.04.2011, 02:00
    2. Вирус: Win32 Tifaut C и Worm.Win32.AudoIl.yh
      От Malina26 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.08.2010, 15:39
    3. вирус Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64
      От stinger51 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:36
    4. Вирус Win32.Sector.xxx либо Win32.Sality.
      От Akela в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.09.2008, 16:46
    5. вирус Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64
      От BBX в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2008, 13:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00014 seconds with 16 queries