-
Junior Member
- Вес репутации
- 51
вирус в папке System Volume Information\Whistler
Добрый день. После удаления файлов из папки C:\System Volume Information\Whistler\ svchost.exe и smss.exe они восстанавливаются. При установке KIS7 при загрузке Windows BSOD с кодом ошибки 0x0000000A, загружается в безопасном режиме нормально и в обычном режиме тоже иногда загружается, в частности после установки проверки диска С на ошибки. После нормальной загрузки Касперский находит файлы вируса, предлагает специальную поцедуру лечения, требующую перезагрузку. После этого все повторяется. После деинсталляции Касперского BSODы исчезли.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится t0w2s7pp.exe (GMER) и запустите этот батник(1.bat):
Код:
t0w2s7pp.exe -del service lvmxigf
t0w2s7pp.exe -del file "C:\WINDOWS\system32\zsxlyfga.dll"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lvmxigf"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\lvmxigf"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvmxigf"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lvmxigf"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lvmxigf"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\lvmxigf"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\lvmxigf\Parameters"
t0w2s7pp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\lvmxigf"
t0w2s7pp.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 51
при выполнении скрипта ругнулось на отсутствие файла и некоторых веток реестра. Вот логи
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
TerminateProcessByName('c:\system volume information\whistler\smss.exe');
QuarantineFile('c:\system volume information\whistler\smss.exe','');
QuarantineFile('c:\system volume information\whistler\svchost.exe','');
DeleteFile('c:\system volume information\whistler\smss.exe');
DeleteFile('c:\system volume information\whistler\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\system volume information\whistler\smss.exe');
DeleteFile('c:\system volume information\whistler\smss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteFile('c:\system volume information\whistler\smss.exe');
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 51
После перезагрузки файлы в папке C:\System Volume Information\Whistler восстанавливаются.
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('\Program Files\DAEMON Tools Lite\daemon.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 51
Вот лог выполнения скрипта:
Удаление файла:E:\avz4\Quarantine\ *.*
Ошибка карантина файла, попытка прямого чтения (\Program Files\DAEMON Tools Lite\daemon.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (\Program Files\DAEMON Tools Lite\daemon.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (\Program Files\DAEMON Tools Lite\)
Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Соответственно, в карантине пусто
-
- Выполните скрипт в AVZ
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи virusinfo_syscure.zip и virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
логи делал тоже через перезагрузку
-
Junior Member
- Вес репутации
- 51
Анализируя отчеты Gmer можно увидеть, что каждый раз создается какой-то виртуальный файл sp**.sys, и он как-то связывается с atapi.sys. Может ноги оттуда растут?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Что за куча tmp-файлов в папке wIndows? Удалите их вручную
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
lvmxigf
NetSVC::
lvmxigf
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8053:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
QuarantineFile('c:\system volume information\whistler\svchost.exe','');
DeleteFile('c:\system volume information\whistler\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Систему переустанавливаю, есть ограничения во времени, всем спасибо за желание помочь, логи на всякий случай высылаю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\whistler\smss.exe - Trojan.Win32.Vilsel.adnj ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846055, AVAST4: Win32:Unruy-E [Trj] )
- c:\system volume information\whistler\svchost.exe - Trojan.Win32.Vilsel.adnt ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846262, AVAST4: Win32:Unruy-E [Trj] )
-