-
Junior Member
- Вес репутации
- 52
TR/Spy
Здравствуйте!
У меня случилась беда, в моем компьютере поселился вирус TR/Spy (так его определяет антивирус avira)
Через некоторое время после удаления с помощью антивируса "слетает" процесс svhost и комп жутко тормозит.
У меня ОС Windows Xp SP-3, очень надеюсь на Вашу квалифицированную помощь! Заранее благодарен!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-2795478566-9162544443-715606311-5150\syscr.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('1.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\36.exe','');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
DeleteFile('C:\RECYCLER\S-1-5-21-2795478566-9162544443-715606311-5150\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
пРисылаю новые логи (вроде не помогло), так же слитает процесс svhost, лог mbam выполнил но прикрепить не смог так как нету команды "выполнить" пишет что операция отменена в виду ограничений на компе обратитесь к администратору сети...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\AdobeARMS.exe','');
DeleteFile('C:\Program Files\Common Files\AdobeARMS.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeARMS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + попробуйте сделать еще раз и прикрепить лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Удалите в МВАМ
Код:
Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-3157229389-5888237044-271473636-9083\syscr.exe,explorer.exe,C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken.
C:\RECYCLER\S-1-5-21-3157229389-5888237044-271473636-9083\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-6290256474-5384820813-122642811-6878\syscr.exe (Worm.Autorun.B) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
- Сделайте повторный лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 52
Стал жестко глючить интернет, такое ощущение что он мне мешает загрузить на сайт все необходимые приложения...еле еле залил....
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
хоть бы помогло, посмотрите пожалуйста я все сделал как Вы написали...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('explorer.exe,C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe,Explorer.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Коля и Катя\Главное меню\Программы\Автозагрузка\mns.ru.lnk','');
QuarantineFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('explorer.exe,C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (полный комплект) + лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
C:\Documents and Settings\Коля и Катя\Главное меню\Программы\Автозагрузка\mns.ru.lnk- что это такое в автозагрузке? Знаете, сами прописывали?
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1846412112-7175387440-112696943-7536\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1846412112-7175387440-112696943-7536\syscr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении.
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Сообщение от
polword
C:\Documents and Settings\Коля и Катя\Главное меню\Программы\Автозагрузка\mns.ru.lnk- что это такое в автозагрузке? Знаете, сами прописывали?
Да сам, это VPN соединение с интернет провайдером Matrix Network SOlution (MNS)
-
больше плохого нет
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 52
Нашел 1 уязвимость (обновить Adobe Reader), обновил вроде теперь криминала нет.
Ребята!
Я хочу Вам выразить искреннюю признательность! Вы делаете благое дело, Вы настоящие профессионалы своего дела! Вы спасли наш отпуск, без ноутбука и фильмы не посмотреть! Огромное Вам человеческое спасибо!!!!Молодцы!!!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 40
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\коля и катя\application data\ltzqai.exe - Trojan.Win32.Agent.etji ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
- c:\documents and settings\коля и катя\application data\ltzqai.exe - Trojan.Win32.Agent.etge ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Worm.P2P.Palevo.BK, AVAST4: Win32:AutoRun-BNA [Wrm] )
- c:\recycler\s-1-5-21-1846412112-7175387440-112696943-7536\syscr.exe - Trojan.Win32.Agent.etpf ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
- c:\windows\cfdrive32.exe - Trojan.Win32.VB.aixv ( DrWEB: Trojan.Packed.20805, BitDefender: Trojan.Agent.VB.BOJ, AVAST4: Win32:Malware-gen )
- c:\windows\system32\36.exe - Backdoor.Win32.IRCBot.pze ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Delf.PYM, AVAST4: Win32:Malware-gen )
- c:\windows\system32\53.exe - Trojan.Win32.Agent.etpf ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
- c:\windows\system32\64.exe - Trojan.Win32.Agent.etpf ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
-