-
Junior Member
- Вес репутации
- 50
Подозрение на маскировку ключа реестра службы\драйвера "mshomo.sys"
Была проблема: svchost.exe грузил проц на 100%. Прогнал проверку DrWeb CureIt!, она нашла пару вирусов, теперь эта проблема отпала, но штатный антивирус (Avast 5) стал ругаться на файл C:\Windows\System32\Drivers\mshomo.sys определяя его как Win32:Malware-gen.
Провел проверку AVZ и HijackThis как описано в интрукции. AVZ эвристикой определил подозрение на маскировку ключа реестра службы\драйвера "mshomo.sys".
Логи прилагаю, хочется избавиться от этой заразы.
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню
драйверов правой кнопкой по msmoho и выберите "Turn Run Off". Подтвердите перезагрузку.
Отключите восстановление системы
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\db3fefc.exe,
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\db3fefc.exe','');
QuarantineFile('C:\Windows\System32\Drivers\msmoho.sys','');
DeleteService('msmoho');
DeleteFile('C:\Windows\System32\Drivers\msmoho.sys');
DeleteFile('C:\Windows\system32\db3fefc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 50
Все выполнил, скрипт в AVZ запустился не с первого раза, но потом нормально отработал.
Прикрепляю логи, карантин выслал.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\drivers\vdiwmzcw.sys','');
SetServiceStart('rlxvyic', 4);
QuarantineFile('C:\Windows\System32\user32.dll','');
QuarantineFile('C:\Windows\System32\Drivers\rlxvyic.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 50
Карантин прислал, запрошенный лог AVZ прикрепляю к сообщению.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\db3fefc.exe - Backdoor.Win32.Shiz.mu ( DrWEB: BackDoor.Siggen.25652, NOD32: Win32/Spy.Shiz.NAI trojan )
- c:\windows\system32\drivers\msmoho.sys - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )
-