Добрый день. При очередной проверке (раз в неделю) NOD нашёл несколько троянов. Некоторые из них он удалить не смог. Посмотрите, пожалуйста, логи...
Добрый день. При очередной проверке (раз в неделю) NOD нашёл несколько троянов. Некоторые из них он удалить не смог. Посмотрите, пожалуйста, логи...
Последний раз редактировалось Grower; 21.09.2010 в 13:19.
Выполните скрипт в AVZ (в безопасном режиме)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('\\?\globalroot\systemroot\system32\oCeG9Bk.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\btiWC65.exe',''); QuarantineFile('C:\WINDOWS\system32\sidebar32.exe',''); QuarantineFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe',''); DeleteFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS\system32\sidebar32.exe'); DeleteFile('\\?\globalroot\systemroot\system32\btiWC65.exe'); DeleteFile('\\?\globalroot\systemroot\system32\oCeG9Bk.exe'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (в нормальном режиме)
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин выслал:
----------------
Файл сохранён как 100805_134731_virus_4c5a88b3b3996.zip
Размер файла 363430
MD5 ecb562743358cd9ed6bdf5a90966d809
----------------
Теперь при загрузке ПК процесс svchost.exe грузит CPU на 100%. При закрытии этого процесса, система аварийно завершает свою работу в течении 59 секунд.
Помогает только "shutdown -a"...
Вот новые логи:
Последний раз редактировалось Grower; 21.09.2010 в 13:19.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); QuarantineFile('%System32%\sfcfiles.dll',''); QuarantineFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\Documents and Settings\Сурков\Главное меню\Программы\Автозагрузка\monoca32.exe'); QuarantineFile('C:\WINDOWS\system32\UsKmQtf.exe',''); DeleteFile('C:\WINDOWS\system32\UsKmQtf.exe'); QuarantineFile('C:\WINDOWS\system32\72WitOH.exe',''); DeleteFile('C:\WINDOWS\system32\72WitOH.exe'); QuarantineFile('C:\WINDOWS\system32\NZNDOyv.exe',''); DeleteFile('C:\WINDOWS\system32\NZNDOyv.exe'); QuarantineFile('C:\WINDOWS\system32\3ZmCCuF.exe',''); DeleteFile('C:\WINDOWS\system32\3ZmCCuF.exe'); QuarantineFile('C:\WINDOWS\system32\mmygpf.exe',''); QuarantineFile('C:\WINDOWS\system32\77d4449d.exe',''); DeleteFile('C:\WINDOWS\system32\77d4449d.exe'); QuarantineFile('C:\WINDOWS\system32\KT4fsXU.exe',''); DeleteFile('C:\WINDOWS\system32\KT4fsXU.exe'); QuarantineFile('C:\WINDOWS\system32\k3FR1Jj.exe',''); QuarantineFile('C:\WINDOWS\system32\SnwWqfp.exe',''); QuarantineFile('C:\WINDOWS\system32\Aqc62PW.exe',''); QuarantineFile('C:\WINDOWS\system32\fYSS314.exe',''); QuarantineFile('C:\WINDOWS\system32\1Xn6E5V.exe',''); QuarantineFile('C:\WINDOWS\system32\GmXif8O.exe',''); QuarantineFile('C:\WINDOWS\system32\NHIXFKl.exe',''); QuarantineFile('C:\WINDOWS\etpoun.EXE',''); QuarantineFile('C:\WINDOWS\system32\mjcbibp.exe',''); QuarantineFile('C:\WINDOWS\system32\Mg32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\mgnt.sys',''); QuarantineFile('C:\WINDOWS\system32\ZbIvLES.exe',''); QuarantineFile('C:\WINDOWS\system32\aqhOgXR.exe',''); QuarantineFile('C:\WINDOWS\system32\FgK8o7w.exe',''); QuarantineFile('C:\WINDOWS\system32\xvifsX0.exe',''); QuarantineFile('C:\WINDOWS\system32\1OKNYnO.exe',''); QuarantineFile('C:\WINDOWS\system32\hbzQQbJ.exe',''); QuarantineFile('C:\WINDOWS\system32\rVWIIAe.exe',''); QuarantineFile('C:\WINDOWS\system32\Pbr6lNP.exe',''); QuarantineFile('C:\WINDOWS\system32\jXNKoF0.exe',''); QuarantineFile('C:\WINDOWS\system32\juJtybh.exe',''); QuarantineFile('C:\WINDOWS\system32\F4gMWKN.exe',''); QuarantineFile('C:\WINDOWS\system32\f1uihwi.exe',''); QuarantineFile('C:\WINDOWS\system32\t8QcRWC.exe',''); QuarantineFile('C:\WINDOWS\system32\9ua7Cfs.exe',''); QuarantineFile('C:\WINDOWS\system32\6DwF2wA.exe',''); QuarantineFile('C:\WINDOWS\system32\8Oeb2BE.exe',''); QuarantineFile('C:\WINDOWS\system32\9XveHBt.exe',''); QuarantineFile('C:\WINDOWS\system32\Bxx4pnQ.exe',''); QuarantineFile('C:\WINDOWS\system32\b0O4pla.exe',''); QuarantineFile('C:\WINDOWS\system32\kVTscWi.exe',''); QuarantineFile('C:\WINDOWS\system32\pkNg7pX.exe',''); QuarantineFile('C:\WINDOWS\system32\QoH4EhO.exe',''); QuarantineFile('C:\WINDOWS\system32\Qxbxkuq.exe',''); QuarantineFile('C:\WINDOWS\system32\cu98r1W.exe',''); QuarantineFile('C:\WINDOWS\system32\vUIddQj.exe',''); QuarantineFile('C:\WINDOWS\system32\fRxYlJN.exe',''); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
А также сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин выслал.
Вот новый лог...
Что касается комбофикса, то он вроде отрабатывает, но лог пустой.
Последний раз редактировалось Grower; 21.09.2010 в 13:19.
Запустите ComboFix еще раз и дождитесь окончания его работы (об этом появится соответствующая надпись)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
С комбофиксом проблемы...
Отрабатывает до стадии 7, потом ничего не происходит. Ждал 12 часов, запустил по-новой - тоже самое.
АВЗ снова нашёл вирусы.
Этот сайт (vitusinfo.info) не открывается, и базы avz не обновляются, пока не запустишь route -f
Последний раз редактировалось Grower; 21.09.2010 в 13:19.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\6880a4ed.exe',''); QuarantineFile('C:\WINDOWS\system32\wininet.exe',''); QuarantineFile('C:\WINDOWS\system32\sidebar32.exe',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\srwvuh.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\srwvuh.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun'); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); DeleteFile('C:\WINDOWS\system32\sidebar32.exe'); DeleteFile('C:\WINDOWS\system32\wininet.exe'); DeleteFile('C:\WINDOWS\system32\6880a4ed.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин выслал.
Вот новые логи:
Последний раз редактировалось Grower; 17.03.2011 в 23:16.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\atvudz.exe',''); QuarantineFile('C:\WINDOWS\system32\mmygpf.exe',''); QuarantineFile('C:\WINDOWS\system32\fYSS314.exe',''); QuarantineFile('C:\WINDOWS\etpoun.EXE',''); QuarantineFile('C:\WINDOWS\system32\FgK8o7w.exe',''); QuarantineFile('C:\WINDOWS\system32\xvifsX0.exe',''); QuarantineFile('C:\WINDOWS\system32\hbzQQbJ.exe',''); QuarantineFile('C:\WINDOWS\system32\rVWIIAe.exe',''); QuarantineFile('C:\WINDOWS\system32\juJtybh.exe',''); QuarantineFile('C:\WINDOWS\system32\F4gMWKN.exe',''); QuarantineFile('C:\WINDOWS\system32\f1uihwi.exe',''); QuarantineFile('C:\WINDOWS\system32\t8QcRWC.exe',''); QuarantineFile('C:\WINDOWS\system32\Bxx4pnQ.exe',''); QuarantineFile('C:\WINDOWS\system32\b0O4pla.exe',''); QuarantineFile('C:\WINDOWS\system32\kVTscWi.exe',''); QuarantineFile('C:\WINDOWS\system32\pkNg7pX.exe',''); QuarantineFile('C:\WINDOWS\system32\Qxbxkuq.exe',''); QuarantineFile('C:\WINDOWS\system32\cu98r1W.exe',''); QuarantineFile('C:\WINDOWS\system32\vUIddQj.exe',''); QuarantineFile('C:\WINDOWS\system32\fRxYlJN.exe',''); DeleteFile('C:\WINDOWS\system32\fRxYlJN.exe'); DeleteFile('C:\WINDOWS\system32\vUIddQj.exe'); DeleteFile('C:\WINDOWS\system32\cu98r1W.exe'); DeleteFile('C:\WINDOWS\system32\Qxbxkuq.exe'); DeleteFile('C:\WINDOWS\system32\pkNg7pX.exe'); DeleteFile('C:\WINDOWS\system32\kVTscWi.exe'); DeleteFile('C:\WINDOWS\system32\b0O4pla.exe'); DeleteFile('C:\WINDOWS\system32\Bxx4pnQ.exe'); DeleteFile('C:\WINDOWS\system32\t8QcRWC.exe'); DeleteFile('C:\WINDOWS\system32\f1uihwi.exe'); DeleteFile('C:\WINDOWS\system32\F4gMWKN.exe'); DeleteFile('C:\WINDOWS\system32\juJtybh.exe'); DeleteFile('C:\WINDOWS\system32\rVWIIAe.exe'); DeleteFile('C:\WINDOWS\system32\hbzQQbJ.exe'); DeleteFile('C:\WINDOWS\system32\xvifsX0.exe'); DeleteFile('C:\WINDOWS\system32\FgK8o7w.exe'); DeleteFile('C:\Program Files\Common Files\keylog.txt'); DeleteFile('C:\WINDOWS\system32\fYSS314.exe'); DeleteFile('C:\WINDOWS\system32\mmygpf.exe'); DeleteFile('C:\WINDOWS\system32\atvudz.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Папки C:\Program Files\Common Files\wm и C:\WINDOWS\system32\lowsec удалите вручную
Сделайте новые логи RSIT + лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 44
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\сурков\главное меню\программы\автозагрузка\monoca32.exe - Trojan-Ransom.Win32.DigiPog.wi ( DrWEB: Trojan.DownLoad2.14900, BitDefender: Gen:Trojan.Heur.FU.bC0@a84oropi, AVAST4: Win32:Crypt-HCS [Drp] )
- c:\windows\system32\aqc62pw.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, AVAST4: Win32:Malware-gen )
- c:\windows\system32\nzndoyv.exe - Backdoor.Win32.Shiz.pc ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.TP.gq0@bSz3B4ni, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.biit ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@aKHavpc, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sidebar32.exe - Trojan-Spy.Win32.BZub.iad ( DrWEB: Trojan.PWS.Ibank.77, BitDefender: Gen:Trojan.Heur.RP.gmW@aq84WXn )
- c:\windows\system32\snwwqfp.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wininet.exe - Trojan-Spy.Win32.Zbot.amyu ( DrWEB: Trojan.MulDrop1.25484 )
- c:\windows\system32\zbivles.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771 )
- c:\windows\system32\72witoh.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.Krypt.19, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\oceg9bk.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gu0@aiW5r3gi )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Grower, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.