Показано с 1 по 16 из 16.

Много разных вирусов, подмена диспетчера задач, постоянный сетевой трафик (заявка № 81470)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57

    Thumbs up Много разных вирусов, подмена диспетчера задач, постоянный сетевой трафик

    После подключения интернета все закачивается назад и возвращается в прежнее состояние, как будто ничего и не лечили...

    Антивирусом Касперсого 6 на незараженной машине удалены следующие зловреды:

    Trojan.Win32.Inject.ardy Documents and Settings\Администрато\Application Data\cift.exe

    Email-Worm.Win32.Joleee.ewc WINDOWS\explorer.exe:userini.exe

    Trojan.Win32.VB.adlo S-1-5-21-1482476501-1644491937-682003330-1013\Mars1.exe

    HEUR:Worm.Win32.Generic (модификация) RECYCLER\S-1-5-21-8148125935-9342107602-532444701-0354\nissan.exe

    Email-Worm.Win32.Joleee.ewa WINDOWS\system32\userini.exe

    Backdoor.Win32.Bredolab.evh WINDOWS\system32\wbem\grpconv.exe

    Packed.Win32.Krap.x WINDOWS\Temp\wpv161276706163.exe

    Packed.Win32.Krap.x WINDOWS\Temp\wpv461276716863.exe

    Packed.Win32.Krap.x WINDOWS\Temp\wpv291276717903.exe

    Packed.Win32.Krap.x WINDOWS\Temp\wpv541276706474.exe

    После чего DrWeb CureIt ничего не нашел.

    По сетевому монитору KIS 2010 активность проявляют процессы wpv************.exe.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Да, и еще создается на флешке autorun.inf, ссылающийся на ЮРИСТ\ЮРИСТ\ЮРИСТxss4.exe, на который антивирус Касперского 6 с сегодняшними базами не ругается... Что за дела? Я пока свято верю, что на моей флешке файлы сами не зарождаются...

  4. #3
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Помогите же пожалуйста вылечить компьютер! Не справляются AVZ с антивирусом Касперского с чем-то недолеченным автоматически...

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\system32\wbem\grpconv.exe','');
    DeleteFile('C:\WINDOWS\Temp\system32\wbem\grpconv.exe');
    QuarantineFile('C:\WINDOWS\Temp\wpv541276706474.exe','');
    DeleteFile('C:\WINDOWS\Temp\wpv541276706474.exe');
    QuarantineFile('C:\WINDOWS\Temp\wpv291276717903.exe','');
    DeleteFile('C:\WINDOWS\Temp\wpv291276717903.exe');
    QuarantineFile('C:\WINDOWS\Temp\wpv461276716863.exe','');
    DeleteFile('C:\WINDOWS\Temp\wpv461276716863.exe');
    QuarantineFile('C:\WINDOWS\Temp\wpv161276706163.exe','');
    DeleteFile('C:\WINDOWS\Temp\wpv161276706163.exe');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\oo3qrmm6i.exe','');
     QuarantineFile('C:\WINDOWS\system32\fwwriijz0al.exe','');
     QuarantineFile('C:\WINDOWS\system32\86dezk3.exe','');
     QuarantineFile('C:\WINDOWS\system32\36ittjk.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\vogan.exe','');
     QuarantineFile('C:\S-1-5-21-1482476501-1644491937-682003330-1013\Mars1.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8148125935-9342107602-532444701-0354\nissan.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\cpq.exe','');
     QuarantineFile('C:\WINDOWS\system32\0471.tmp','');
     DeleteService('vpahuevr');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ujihycjf.sys','');
     DeleteService('ujihycjf');
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     DeleteService('qcwlhx');
     DeleteService('mpmxpc');
     DeleteService('ifzybdky');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecj.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecq.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecr.sys','');
     DeleteService('aecr');
     DeleteService('aecq');
     DeleteService('aecj');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\vifo.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\jyboogav.exe','');
     DeleteService('o5ubo5abe2iua');
     DeleteService('iocgswuw8zeol');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winxss.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winxss.exe','');
     TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\wassoo.exe');
     QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\wassoo.exe','');
     DeleteFile('c:\documents and settings\Администратор\application data\microsoft\wassoo.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\winxss.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\jyboogav.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\vifo.exe');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\aecr.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\aecq.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\aecj.sys');
     DeleteFile('C:\WINDOWS\system32\03.tmp');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
     DeleteFile('C:\WINDOWS\System32\Drivers\ujihycjf.sys');
     DeleteFile('C:\WINDOWS\system32\0471.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bataz');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','roolimy');
     DeleteFile('C:\Documents and Settings\Администратор\cpq.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-8148125935-9342107602-532444701-0354\nissan.exe');
     DeleteFile('C:\S-1-5-21-1482476501-1644491937-682003330-1013\Mars1.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','InternetServics1');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\vogan.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\36ittjk.exe');
     DeleteFile('C:\WINDOWS\system32\86dezk3.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ioezav7');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wxxne1');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cyytkk');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cyyukql');
     DeleteFile('C:\WINDOWS\system32\fwwriijz0al.exe');
     DeleteFile('C:\WINDOWS\system32\oo3qrmm6i.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Скрипт в AVZ выполнен успешно.
    Карантин выслан.
    ЮРИСТ\ЮРИСТ\ЮРИСТxss4.exe и autorun.inf на флешке не создаются.
    Пока, похоже, все работает нормально.
    Выкладываю новые логи и лог gmer.

    Скажите пожалуйста, при лечении компьютера AVPTool или Dr. Web CureIt! лучше лечить компьютер в безопасном режиме или с live-cd? То, что при проверке с live-cd не используется зараженная система - это плюс или минус в возможностях для лечения?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится btfvkh38.exe (gmer)
    Код:
    btfvkh38.exe -del service faqkdnseu
    btfvkh38.exe -del service fybvohe
    btfvkh38.exe -del service gojbsbz
    btfvkh38.exe -del service pddnkccl
    btfvkh38.exe -del service SKYNETmoqbpfmq
    btfvkh38.exe -del file "C:\WINDOWS\system32\rhwgxnm.dll"
    btfvkh38.exe -del file "c:\windows\system32\drivers\SKYNETpapqqaqc.sys"
    btfvkh38.exe -del file "c:\windows\system32\SKYNETpasfthow.dll"
    btfvkh38.exe -del file "c:\windows\system32\SKYNETbbuijpyx.dat"
    btfvkh38.exe -del file "c:\windows\system32\SKYNETtdllewiq.dll"
    btfvkh38.exe -del file "c:\windows\system32\SKYNETltpuhbaq.dat"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\faqkdnseu"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\fybvohe"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gojbsbz"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pddnkccl"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETmoqbpfmq"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\faqkdnseu"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fybvohe"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gojbsbz"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pddnkccl"
    btfvkh38.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETmoqbpfmq"
    btfvkh38.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\faqkdnseu"
    btfvkh38.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fybvohe"
    btfvkh38.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gojbsbz"
    btfvkh38.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pddnkccl"
    btfvkh38.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETmoqbpfmq"
    btfvkh38.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('ujihycjf');
     DeleteFile('C:\WINDOWS\System32\Drivers\ujihycjf.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Запустил cleanup.bat, компьютер перезагрузился.
    Сделал лог Gmer, выполнил скрипт AVZ, компьютер перезагрузился.
    Выкладываю новые логи.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    При запуске combofix появилось сообщение, что windows не может найти файл 'grpconv', убедитесь, что имя было введено правильно и т.д. после чего запустился.
    После установки консоли восстановления и записи Completed Stage_2 вылезла ошибка приложения windows pev.cfxxe (отправлять/не отправлять). Нажал "не отправлять", пошло дальше. Все выполнилось. Лог выкладываю.
    Не могу сказать точно, было это раньше или нет, но в командной строке (cmd) русские буквы показываются иероглифами, в проводнике и других программах - нормально. В общем, это - не проблема, так просто, сообщаю для сведения.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\Drivers\ujihycjf.sys
    
    Driver::
    ujihycjf
    
    NetSvc::
    pddnkccl
    faqkdnseu
    fybvohe
    gojbsbz
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Combofix отработал, опять точно так же, как и в прошлый раз вызвал ошибку на шаге 2, я нажал "не отправлять". Вот лог.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Kostik85 Посмотреть сообщение
    как и в прошлый раз вызвал ошибку на шаге 2
    Это антивирус буянит

    В логе чисто. Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Да, все нормально. Все вылечилось. Спасибо огромное за помощь! Тему можно закрывать.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите ComboFix

    Пофиксите в HiJack
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    26.11.2008
    Адрес
    Smolensk
    Сообщений
    28
    Вес репутации
    57
    Combofix удален. В HiJack пофиксил. Установил IE8. Все работает, ошибок не замечено. Еще раз огромное спасибо за помощь!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 57
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\application data\microsoft\jyboogav.exe - Trojan-Dropper.Win32.Vidro.bmt ( BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      2. c:\documents and settings\администратор\application data\microsoft\vifo.exe - Trojan-Dropper.Win32.Vidro.bms ( BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      3. c:\documents and settings\администратор\application data\microsoft\vogan.exe - Trojan-Dropper.Win32.Vidro.bms ( BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      4. c:\documents and settings\администратор\application data\microsoft\wassoo.exe - Trojan-Dropper.Win32.Vidro.bms ( BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      5. c:\docume~1\9335~1\locals~1\temp\winxss.exe - Trojan.Win32.Jorik.IRCbot.r ( DrWEB: Win32.HLLW.Silka.7, BitDefender: IRC-Worm.Generic.12484, AVAST4: Win32:Dropper-gen [Drp] )


  • Уважаемый(ая) Kostik85, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 15:12
    2. Много разных вирусов
      От AnnAit в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 11.03.2010, 22:27
    3. Много разных вирусов
      От Detochkin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.02.2010, 23:07
    4. много разных вирусов...
      От azza2009 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2009, 21:16
    5. Много разных вирусов
      От Tolik_P в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.02.2009, 07:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00554 seconds with 19 queries