Показано с 1 по 7 из 7.

Подозрение на маскировку ключа реестра службы\драйвера "mshomo.sys" (заявка № 83683)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    3
    Вес репутации
    50

    Exclamation Подозрение на маскировку ключа реестра службы\драйвера "mshomo.sys"

    Была проблема: svchost.exe грузил проц на 100%. Прогнал проверку DrWeb CureIt!, она нашла пару вирусов, теперь эта проблема отпала, но штатный антивирус (Avast 5) стал ругаться на файл C:\Windows\System32\Drivers\mshomo.sys определяя его как Win32:Malware-gen.

    Провел проверку AVZ и HijackThis как описано в интрукции. AVZ эвристикой определил подозрение на маскировку ключа реестра службы\драйвера "mshomo.sys".

    Логи прилагаю, хочется избавиться от этой заразы.

    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню
    драйверов правой кнопкой по msmoho и выберите "Turn Run Off". Подтвердите перезагрузку.
    Отключите восстановление системы
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\db3fefc.exe,
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\db3fefc.exe','');
     QuarantineFile('C:\Windows\System32\Drivers\msmoho.sys','');
     DeleteService('msmoho');
     DeleteFile('C:\Windows\System32\Drivers\msmoho.sys');
     DeleteFile('C:\Windows\system32\db3fefc.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  4. #3
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    3
    Вес репутации
    50
    Все выполнил, скрипт в AVZ запустился не с первого раза, но потом нормально отработал.
    Прикрепляю логи, карантин выслал.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\System32\drivers\vdiwmzcw.sys','');
     SetServiceStart('rlxvyic', 4);
     QuarantineFile('C:\Windows\System32\user32.dll','');
     QuarantineFile('C:\Windows\System32\Drivers\rlxvyic.sys','');
     BC_ImportAll;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  6. #5
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    3
    Вес репутации
    50
    Карантин прислал, запрошенный лог AVZ прикрепляю к сообщению.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Проблема решена?

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\db3fefc.exe - Backdoor.Win32.Shiz.mu ( DrWEB: BackDoor.Siggen.25652, NOD32: Win32/Spy.Shiz.NAI trojan )
      2. c:\windows\system32\drivers\msmoho.sys - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) sok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 05.09.2011, 20:00
    2. Ответов: 8
      Последнее сообщение: 29.12.2010, 20:44
    3. Ответов: 4
      Последнее сообщение: 28.12.2010, 14:30
    4. Ответов: 1
      Последнее сообщение: 08.10.2010, 16:17
    5. Ответов: 2
      Последнее сообщение: 13.08.2010, 12:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01458 seconds with 17 queries