Здравствуйте!
Я в автозагрузке обнаружил файл wwwznv32.exe, svchost.exe загружает ЦП на 99% .
Система: WinXP Pro SP3.
Здравствуйте!
Я в автозагрузке обнаружил файл wwwznv32.exe, svchost.exe загружает ЦП на 99% .
Система: WinXP Pro SP3.
Доброго времени суток
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\5wrb9n4.exe,\\?\globalroot\systemroot\system32\ccmv6ey.exe,c:\windows\system32\biruvu.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\biruvu.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\ccmv6ey.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\5wrb9n4.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('\\?\globalroot\systemroot\system32\5wrb9n4.exe'); DeleteFile('\\?\globalroot\systemroot\system32\ccmv6ey.exe'); DeleteFile('c:\windows\system32\biruvu.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Вот...
не помогло...
- Выполните скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '15.07.2010', '20.07.2010'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- сделайте лог Combofix
уффф....при попытке сделать лог с combofix. комп пару раз ругнулся(что то связанное с нод32) и ушел в перезагрузку! потом combofix начал сканировать компьютер, затем он начал удалять некоторые файлы-среди них как раз этот wwwznv32. так вот-никакого файла тхт в диске С я не нашел, чтобы вам отправить. Что дальше делать? попробывать ещо или так оставить?ДА!!! САМОЕ ГЛАВНОЕ - ЗАРАБОТАЛ КОМП!!!пропал файл из автозагрузки! СПАСИБО! что дальше?
Последний раз редактировалось gad74; 20.07.2010 в 17:14.
погодите уходить.
Попробуйте сделать лог еще раз. Дождитесь окончания работы.
вот
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\bnaljdg.exe'); DeleteFile('C:\WINDOWS\system32\nlroqhh.exe'); DeleteFile('C:\WINDOWS\system32\wqglemt.exe'); DeleteFile('C:\WINDOWS\system32\guzdyzr.exe'); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); QuarantineFile('C:\WINDOWS\system32\mssfc.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); QuarantineFile('C:\WINDOWS\system32\drivers\vdmymte5.sys',''); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
завтра только смогу! компьютер на работе. С утра обезательно сделаю!
Сделано..
Последний раз редактировалось gad74; 21.07.2010 в 08:20.
Профиксите в HijackThis как "профиксить в HiJackThis"
больше подозрительного нетКод:O18 - Protocol: soloresinternetrusengnum - {1B7043A7-84E1-443A-804F-20A75728892C} - (no file)
спасибо всем! помогло! я уж думал систему сносить..
А теперь можно все эти программы удалить?
Последний раз редактировалось gad74; 21.07.2010 в 11:26.
Удалите ComboFix
Остальные удалять не обязательно
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe - Trojan.Win32.Jorik.Bredolab.bl ( DrWEB: Trojan.MulDrop1.39570, AVAST4: Win32:Crypt-GWI [Drp] )
- c:\windows\system32\biruvu.exe - Backdoor.Win32.Shiz.ms ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4547050, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\bnaljdg.exe - Backdoor.Win32.Shiz.gen
- c:\windows\system32\guzdyzr.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\nlroqhh.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aSKj7bdi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\wqglemt.exe - Backdoor.Win32.Shiz.gen
Уважаемый(ая) gad74, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.