Показано с 1 по 12 из 12.

Постоянно рецидивируюший вирус. (заявка № 80375)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    29

    Exclamation Постоянно рецидивируюший вирус.

    Avast при каждой загрузке находит зараженные файлы, которые создаются в папке D:/_temp, с числовыми названиями (070.ехе, 154.ехе и т.д.), вирусы win32:VB-pkr[drp], win32: Dravur-D[cryp]. Как только он их находит, инет блокируется ( как ни странно, частично работает контакт, остальные сайты нет). При каждой перезагрузке cure it находит одни и те же вирусы, тоже с числовыми названиями, вирус Hllw.lime.8.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\41.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3769657372-5400880701-324239481-3372\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-3769657372-5400880701-324239481-3372\syscr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
     QuarantineFile('C:\WINDOWS\wndrive32.exe','');
     DeleteFile('C:\WINDOWS\wndrive32.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
      ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    29
    Карантин отослан.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('D:\_TEMP\477.exe','');
     QuarantineFile('D:\_TEMP\668.exe','');
     QuarantineFile('D:\_TEMP\822.exe','');
     QuarantineFile('D:\_TEMP\338.exe','');
     QuarantineFile('C:\WINDOWS\system32\28.exe','');
     QuarantineFile('C:\WINDOWS\system32\42.exe','');
     QuarantineFile('C:\WINDOWS\system32\33.exe','');
     QuarantineFile('C:\WINDOWS\system32\07.exe','');
     QuarantineFile('C:\WINDOWS\system32\35.exe','');
     QuarantineFile('C:\WINDOWS\system32\77.exe','');
     DeleteFile('D:\_TEMP\477.exe');
     DeleteFile('D:\_TEMP\668.exe');
     DeleteFile('D:\_TEMP\822.exe');
     DeleteFile('D:\_TEMP\338.exe');
     DeleteFile('C:\WINDOWS\system32\28.exe');
     DeleteFile('C:\WINDOWS\system32\42.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
    - Сделайте повторные логи log.txt и info.txt.

  6. #5
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    29
    После выполнения первого скрипта и перезагрузки avast предупредил об 01.ехе в c:\windows\system32, вирус win32:vbmod[trj]. Затем вылетела ошибка svchost.exe память обратилась, не может быть read и т.д., сдох инет, пришлось ребутаться. Карантин сделал до того, как все это произошло. Логи делаю после 2ой перезагрузки. Так, RSIT создает только 1 файл...
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. Панель управления - Брандмауэр Windows
    Удалите из его исключений
    D:\_TEMP\477.exe
    D:\_TEMP\338.exe
    D:\_TEMP\822.exe
    D:\_TEMP\668.exe
    D:\_TEMP\417.exe
    2.Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(19);
      RebootWindows(true);
    end.
    После перезагрузки:
    обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .
    - поставте Adobe Reader 9.3 или удалите старый.

    - Проведите процедуру, которая описана в первом сообщении тут.
    результат загрузки прикрепите к новому сообщению

  8. #7
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    29
    Брандмауэр отключен, в исключениях ничего похожего не нашел.

    IE обновить не смог, просит установить какой то update, а когда его устанавливаю, говорит, что стоит версия новее и обновлять не надо. Остальное обновил. В процессе avast опять засек пару файлов: C:\WINDOWS\system32\53.exe [L] Win32:VBMod [Trj]
    C:\WINDOWS\system32\42.exe [L] Win32:VBMod [Trj].

    файл прикрепить не могу, размер больше чем можно. Но я в той ветке его загрузил и написал последнее сообщение.
    "Файл сохранён как: 100607_214320_virusinfo_files_COMPUTER_4c0d2fb8c3d 6d.zip
    Размер файла: 11325369
    MD5: a2c7e2a28fc08cdc09b2d25d6110d30d"

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    делайте новый комплект логов +лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    29
    Лог MbaM - это сохраненный отчет? Что-то самостоятельно он не сгенерировался, может я посмотрел не там? Прикрепляю результат отчета.
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    7
    Вес репутации
    29
    Я тут подумал. Могут ли логи не полностью отражать ситуацию? Процесс (wndrive32.exe), который блочит мне инет и создают кучу файлов в разных папках, он самопроизвольно запускается раз минут в 15. А логи я делаю после перезагрузки и , когда он еще не запущен, не знаю влияет ли это как то на кач-во, на всякий решил сообщить.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,209
    Вес репутации
    3015
    Обновления для системы, вышедшие после SP3, все установлены? Сомнительно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-3769657372-5400880701-324239481-3372\syscr.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      2. c:\windows\system32\07.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      3. c:\windows\system32\33.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      4. c:\windows\system32\35.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      5. c:\windows\system32\41.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )
      6. c:\windows\system32\77.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )


  • Уважаемый(ая) luv2every1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус постоянно перезагружает ПК
      От nataly18 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.06.2011, 22:16
    2. Постоянно появляется вирус
      От lionpro в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.04.2011, 08:43
    3. Постоянно атакует вирус
      От Mentoz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.12.2010, 15:27
    4. Постоянно создается вирус
      От Джамбо в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 03.05.2010, 22:55
    5. Постоянно появляется вирус
      От Станислав Сидоренко в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.04.2009, 10:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00191 seconds with 17 queries