Здраствуйте,
полдня уже убил на колдовство с этим bubnix.au
NOD32 выдает периодически предупреждения об опасности этой гадостью + загрузка на 30- 50% ядер компа (Quad 9450).
Система SP3. Сборка ZverDVD.
Благодарен буду за помощь.
Здраствуйте,
полдня уже убил на колдовство с этим bubnix.au
NOD32 выдает периодически предупреждения об опасности этой гадостью + загрузка на 30- 50% ядер компа (Quad 9450).
Система SP3. Сборка ZverDVD.
Благодарен буду за помощь.
Отключить восстановление системы, защитное ПО.
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить + сделать лог GMER.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MYSECR~1\MSFH32.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe'); BC_Activate; RebootWindows(true); end.
Карантин отправил.
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по mvbsoyz и выберите "Turn Run Off", потом подтвердите перезагрузку.
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ в безопасном режиме
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\mvbsoyz.sys',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\mvbsoyz.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('mvbsoyz'); BC_DeleteSvcReg('mvbsoyz'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в обычном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил. Остальное сделал по инструкции.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys',''); DeleteService('Nups'); DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys'); DeleteFile('C:\WINDOWS\system32\servises.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил. После предпоследнего, так и после последнего скрипта - после загрузки винды минуты 4 комп почти висит, не отвечает на команды. Загрузка до 50% всех четырех ядер. Через минуты 4 загрузка ядер падает уже в норму 0 - 1%.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Просканировал.
Удалите в МВАМ
Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\василий лычковский (сост.) - о мастурбации мозга, или как управляют нашим сознанием.eprotocol (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\василий лычковский (сост.) как управляют нашим сознанием.eprotocol (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{82184935-b894-4ab2-8590-603ba7d74b71} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_NUPS (Backdoor.Agent) -> No action taken. Зараженные папки: C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken. Зараженные файлы: C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил.
Что с проблемой?
Специально не писал сразу. Пару дней откатываю комп во всех режимах. Вроде, 3 раза тьфу, всё пока ОК. Как бы там ни было особый респект и поклон за помощь.
Очень благодарен. Думаю если зараза не вылезла сразу, то уже и не вылезет. Спасибо еще раз.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.3 или удалите старый.
Спасибо. Всё скачал, установил, обновил.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sysrda32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Ursnif.20, AVAST4: Win32:Crypt-HQC [Drp] )
- c:\\windows\\system32\\drivers\\mvbsoyz.sys - Rootkit.Win32.Bubnix.amp ( DrWEB: Trojan.NtRootKit.9437, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )
Уважаемый(ая) import, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.