Показано с 1 по 19 из 19.

И снова wwwznv32.exe... (заявка № 84392)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32

    Thumbs up И снова wwwznv32.exe...

    Доброго времени суток, товарищи!
    Периодически посещая данный форум, заметил, что народ начал хватать нового руткита(сообщения про файл wwwznv32.exe в автозагрузке). Не обошла эта беда стороной и коллегу по офису: тоже подхватил..
    KAV2010 обнаруживает в system32 sys-файл и предлагает произвести перезагрузку для проведения процедуры лечения, но после перезагрузки воз и ныне там..
    Увидел изменения в userini.exe: 2 файла на запуск: первый - из system32 позже был определён, как Trojan.Win32.Jorik.Shiz.bz(Trojan.Siggen2.15 - DrWeb), а второй, из Temp-а, отсутствовал. Пофиксил это.
    wwwznv32.exe из автозагрузки не удаляется(точнее, воспоявляется через некоторое время), процесс среди запущенных не виден. sys-файл из system32 удалить не получается.
    Вот логи; жду указаний
    Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Здравствуйте.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\golovko\Start Menu\Programs\Startup\wwwznv32.exe','');
     QuarantineFile('C:\V\virusinfo.info\Антивирусная_диагностика\Лечащие утилиты\klwk.com\klwk\klwk.com','');
     DeleteFile('C:\Documents and Settings\golovko\Start Menu\Programs\Startup\wwwznv32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(1);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог Гмер.

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Так быстро ответили Спасибо,Olejah!
    Забыл загрузить предыдущий карантин, созданный в процессе составления логов. Загрузил на всякий случай, может что полезное захватил:
    Файл сохранён как 100802_190630_2010-08-02_4c56def66ea9f.zip
    Размер файла 724254
    MD5 bc7536557aa87594a5ce3446f27a8867
    Скрипт сейчас буду выполнять...
    Заметил, что на подключенной к компьютеру "флешке" создаются файлы little.exe и соответствующий ему авторан. В Моём Компьютере меняется иконка съёмного диска на изображение папки. Образец вируса оставил. Если понадобится - вышлю.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Давайте тогда так - после скрипта повторите логи АВЗ с подключенной флешкой + Сделайте лог Гмер.

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Невозможно зайти в Safe Mode - компьютер требует пароль для входа: пароль пользователя(он же локальный админ на своём компьютере) не подходит... В чём дело - ума не приложу...
    Попробовал выполнить скрипт в обычном режиме(пароль для входа в систему, кстати, в обычном режиме подходит...) - что-то получилось, но не знаю, насколько хорошо...
    klwk.com - многофункциональная лечеащя утилита от Лаборатории Касперского - опознаётся антивирусами, как вирус.
    Gmer после запуска при экспресс-проверке выдаёт предупреждение о рутките. При попытке полного сканирования системы - BSOD:
    STOP 0x00000050(0xF71C2000, 0X00000000, 0XA7FBFAFC, 0X00000000)
    pfrdqpog.sys - Address A7FBFAFC bas at A7FBF000 datestamp 4b274f8d

    Сейчас загружу новые логи...

  7. #6
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Вот логи. Заметил, что wwwzvn32.exe из автозагрузки пропал, впрочем, как и сам пункт в меню Пуск... Забавно.. Зато остался Startup(родной язык этой windows - английский). В логе Хайджека его не наблюдаю... Попробую ещё повозиться с ГМЕРом..
    Лог МВАМ надо?
    Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.

  8. #7
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    GMER по-прежнему не может провести полную проверку компьютера: только экспресс-проверку...
    При экспресс-проверке Гмер выдаёт сообщение об обнаруженном скрытом процессе [BOOT]xfwvfr. При запуске полной проверки, как только Гмер сталкивается с этим процессом - BSOD...
    KAV2010 загружается, но висит мёртвым грузом в системной трее - никаких реакций при кликании по значку...

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    А если прикрепить сюда лог экспресс-проверки.

  10. #9
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Добрый день!
    Снял HDD с заражённого компьютера и установил на ночь в запасной системный блок, дабы проверить его там антивирусом. Воспользовался CureIt!-ом. В процессе проверки последний нашёл в Application data пользователя Trojan.DownLoader1.15292, а в System32/Drivers того самого xfwvfr.sys - Trojan.NtRootKit.9374. Копии вирусов оставил - могу выслать, если понадобится..
    Установил HDD в родной системник, делаю новый комплект логов. Гмер работает без проблем.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Цитата Сообщение от Hamrad Посмотреть сообщение
    Копии вирусов оставил - могу выслать, если понадобится..
    Запакуйте пожалуйста в zip архив, с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  12. #11
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Отправил:
    Файл сохранён как 100803_162922_Viruses_4c580ba2ec339.zip
    Размер файла 660635
    MD5 6a97cadd64dd49a149e29d6b53708233
    Файлы внутри архива переименованы. Downloader имел расширение exe, Руткит - sys.
    Логи почти сделал - при попытке выполнения в AVZ стандартного скрипта №2 компьютер зависает намертво...

  13. #12
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Вот новая порция логов. Вместо лога от HiJackThis прикладываю логи RSIT, но если нужен будет от Хайджека - сделаю, приложу.
    KAV по-прежнему неактивен: real time-сканирование зависло на одном и том же числе проверенных файлов, плюс ко всему, было выдано сообщение о повреждении баз. Был произведён откат к предыдущей версии баз, после чего было запущено обновление, которое прошло успешно. Антивирус подаёт довольно "вялые" "признаки жизни": при подключении флешки(чистой) выдаётся предложение проверить флешку. При проверке выдаёт отчёт об одном проверенном файле и об отсутствии угроз, хотя файлов на флешке довольно много... Новые вирусы и автораны на флешке не появляются.
    Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.

  14. #13
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Товарищи, уделите, пожалуйста, пять минут внимания: ответа уже почти сутки нет...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Documents and Settings\golovko\Start Menu\Programs\Startup\wwwznv32.exe');
     RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^golovko^Start Menu^Programs^Startup^wwwznv32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог RSIT

  16. #15
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Спасибо, polword! Сейчас всё сделаем!

  17. #16
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Вот логи RSIT:
    Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    подозрительного нет.

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

  19. #18
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Понял Обновления выполнил
    Спасибо, Polword & Olejah!
    Тему можно закрывать
    Best regards & 73!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. \trojan.downloader1.15292 - Worm.Win32.AutoRun.bliz ( DrWEB: Trojan.DownLoader1.15292, BitDefender: Gen:Heur.VB.Krypt.11, AVAST4: Win32:Malware-gen )
      2. \trojan.ntrootkit.9374 - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Hamrad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. снова wwwznv32
      От Titanus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2010, 00:56
    2. И снова wwwznv32.exe
      От ArtAndr в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.07.2010, 18:49
    3. снова wwwznv32 - помогите
      От denbrough в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 21.07.2010, 17:18
    4. Ответов: 7
      Последнее сообщение: 05.02.2010, 18:18
    5. Ответов: 10
      Последнее сообщение: 17.08.2007, 10:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01048 seconds with 16 queries