Показано с 1 по 8 из 8.

Вирусная активность (заявка № 91138)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2010
    Сообщений
    5
    Вес репутации
    26

    Вирусная активность

    Доброе время суток.Возникла проблемма при лечении компьютера. Прогонял утилитами от Касперского и веба, вирусы обнаружены и удалены, однако после перезагрузки и подключения к Интернету, касперский ругается на SVCHOST.EXE, который тянет файл с soft.jajaca.com/lib

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      DelCLSID('{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}');
     QuarantineFile('C:\WINDOWS\system32\waeiaprnlib.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\obikm.cc3','');
     QuarantineFile('C:\WINDOWS\system32\Mcaerfe.exe','');
     QuarantineFile('C:\WINDOWS\system32\O8AG5P67\H001.exe','');
     QuarantineFile('C:\WINDOWS\system32\N608NS6L\D001.exe','');
     QuarantineFile('C:\WINDOWS\system32\O8AG5P67\J002.exe','');
     QuarantineFile('C:\WINDOWS\system32\08407DB8\J002.exe','');
     DeleteService('u7t');
     DeleteService('fghj');
     DeleteService('dbbbed60');
     DeleteService('bgkuil');
     QuarantineFile('C:\WINDOWS\system32\O8AG5P67\J001.exe','');
     QuarantineFile('C:\WINDOWS\system32\pkzhgy.exe','');
     DeleteService('bdf');
     DeleteFile('C:\WINDOWS\system32\pkzhgy.exe');
     DeleteFile('C:\WINDOWS\system32\O8AG5P67\J001.exe');
     DeleteFile('C:\WINDOWS\system32\08407DB8\J002.exe');
     DeleteFile('C:\WINDOWS\system32\O8AG5P67\J002.exe');
     DeleteFile('C:\WINDOWS\system32\N608NS6L\D001.exe');
     DeleteFile('C:\WINDOWS\system32\O8AG5P67\H001.exe');
     DeleteFile('C:\WINDOWS\system32\Mcaerfe.exe');
     DeleteFile('C:\WINDOWS\system32\waeiaprnlib.dll');
     DeleteFileMask('C:\WINDOWS\system32\O8AG5P67', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\O8AG5P67');
     DeleteFileMask('C:\WINDOWS\system32\08407DB8', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\08407DB8');
     DeleteFileMask('C:\WINDOWS\system32\N608NS6L', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\N608NS6L');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaeiSvc\Parameters','ServiceDll');
     DeleteFile('c:\Recycled\userinit.exe');
     DeleteFile('E:\autorun.inf');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,354
    Вес репутации
    3019
    А также

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    05.11.2010
    Сообщений
    5
    Вес репутации
    26
    Все требуемые логи сделал и проверки сделал, касперский перестал ругаться на SVCHOST.EXE, который тянет файл с soft.jajaca.com/lib, но по прежнему не обновляется- пишет ошибка при подключении к источнику обновлений.
    Последний раз редактировалось ches66; 06.11.2010 в 11:35.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - удалите в MBAM
    Код:
    Зараженные модули в памяти:
    c:\documents and settings\all users\application data\Storm\update\%sessionname%\obikm.cc3 (Trojan.ServiceHijacker) -> No action taken.
    
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remoteaccess (Trojan.ServiceHijacker) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDT_TOOL (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_MD_ServicesB1 (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDT_TOOL (Trojan.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME% (Trojan.ServiceHijacker) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\waeiapsclib.dll (Malware.Packer) -> No action taken.
    C:\WINDOWS\system32\waegaprnlib.dll (Malware.Packer) -> No action taken.
    C:\WINDOWS\system32\waehaprnlib.dll (Malware.Packer) -> No action taken.
    C:\WINDOWS\system32\CP82O1QE\A04.exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\Ульяна\DoctorWeb\Quarantine\wafaprnlib.dll (Malware.Packer) -> No action taken.
    C:\Documents and Settings\Ульяна\DoctorWeb\Quarantine\H001.exe (Backdoor.Xyligan) -> No action taken.
    C:\avz4\avz4\Quarantine\2010-11-05\avz00031.dta (Malware.Packer) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\obikm.cc3 (Trojan.ServiceHijacker) -> No action taken.
    C:\WINDOWS\HuangZongDanger.ini (Malware.Trace) -> No action taken.
    C:\WINDOWS\HuangZongTongJiMark.ini (Malware.Trace) -> No action taken.

  7. #6
    Junior Member Репутация
    Регистрация
    05.11.2010
    Сообщений
    5
    Вес репутации
    26
    Спасибо большое !!! Все просто замечательно ! )

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,354
    Вес репутации
    3019
    А также

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\tcpz-x86d.sys
    
    Driver::
    WafSvc
    WaegSvc
    WaehSvc
    WaeiSvc
    TCPZ
    
    Folder::
    C:\FOUND.001
    c:\windows\system32\Y6DC0SR7
    c:\windows\system32\XKHV27FT
    c:\windows\system32\XTOF13LE
    c:\windows\system32\XJMHMX4G
    c:\windows\system32\2NXL66MC
    c:\windows\system32\28B2EK4J
    c:\windows\system32\2TOKLWOQ
    c:\windows\system32\14YIPQZ2
    c:\windows\system32\1GZNM7HW
    c:\windows\system32\1603EZ5R
    c:\windows\system32\0THYRAUR
    c:\windows\system32\0SVEICCY
    c:\windows\system32\0RVZ6Q3V
    c:\windows\system32\0SQL5DH4
    c:\windows\system32\0JQ1W45Z
    c:\windows\system32\ZI4GN6N6
    c:\windows\system32\ZVISXW3C
    c:\windows\system32\ZIZNB6RD
    c:\windows\system32\ZK61CGUV
    c:\windows\system32\YA33XBEX
    c:\windows\system32\Y7RXK2GL
    c:\windows\system32\YVYE1NK4
    c:\windows\system32\YV2EWYHU
    c:\windows\system32\FFBOK3BZ
    c:\windows\system32\FBV30X7U
    c:\windows\system32\EJPHLLG1
    c:\windows\system32\EUNMNR04
    c:\windows\system32\E4KRPXM7
    c:\windows\system32\E2URA2YM
    c:\windows\system32\EN78HFIT
    c:\windows\system32\DVP7C17T
    c:\windows\system32\DTZ7W5K6
    c:\windows\system32\CP82O1QE
    c:\windows\system32\CXP0IOGE
    c:\windows\system32\C6KREWWO
    c:\windows\system32\CSX8LAGV
    c:\windows\system32\BJSW028X
    c:\windows\system32\BSMOWCO7
    c:\windows\system32\BPXOHG1L
    c:\windows\system32\BMUWZXOP
    c:\windows\system32\AJ4XL202
    c:\windows\system32\AG143KN6
    c:\windows\system32\API3X5D7
    c:\windows\system32\AAWL4JWF
    c:\windows\system32\AJDJY4MF
    c:\windows\system32\ARTHTQDG
    c:\windows\system32\LUMJ4SA6
    c:\windows\system32\LSWJQXML
    c:\windows\system32\L0QBM52V
    c:\windows\system32\LLRZRWVS
    c:\windows\system32\KLI6KL38
    c:\windows\system32\K5VORYMG
    c:\windows\system32\KFCMLKDH
    c:\windows\system32\KOJ5JGI0
    c:\windows\system32\KAAGTGRH
    c:\windows\system32\KJ37PP6S
    c:\windows\system32\JEO8UYWJ
    c:\windows\system32\JNIZQ7CT
    c:\windows\system32\JKS0BCO6
    c:\windows\system32\JI20WH0K
    c:\windows\system32\J2HI3UKR
    c:\windows\system32\I22XKJWE
    c:\windows\system32\INGFRWFL
    c:\windows\system32\IXNYPSL4
    c:\windows\system32\HUK57A78
    c:\windows\system32\HRCHBT60
    c:\windows\system32\GUYVRFXE
    c:\windows\system32\FQ5I5M4Z
    c:\windows\system32\FXWUVXFG
    c:\windows\system32\F500OWG7
    c:\windows\system32\WZ85GGK7
    c:\windows\system32\WKMNNT2F
    c:\windows\system32\WTGEJ2JP
    c:\windows\system32\WF6OS2S5
    c:\windows\system32\WC4WCKFA
    c:\windows\system32\W814U11E
    c:\windows\system32\V5YCDJOI
    c:\windows\system32\VRPMMKXY
    c:\windows\system32\VNMU41K2
    c:\windows\system32\V8D4F1TJ
    c:\windows\system32\V6N4Z65W
    c:\windows\system32\VGHWVFL6
    c:\windows\system32\U1754FUO
    c:\windows\system32\UB2X0OAY
    c:\windows\system32\U7Z4J5W2
    c:\windows\system32\U4WD2NJ5
    c:\windows\system32\U16ENSVK
    c:\windows\system32\UOO802KK
    c:\windows\system32\RQ4OBFAW
    c:\windows\system32\RN1WTWW0
    c:\windows\system32\RKCWE18E
    c:\windows\system32\MHFSPONZ
    c:\windows\system32\M3ZNXB8P
    c:\windows\system32\MUEJG4GR
    c:\windows\system32\L8IGT4BH
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "WafSvc"=-
    "WaegSvc"=-
    "WaehSvc"=-
    "WaeiSvc"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\waeiaprnlib.dll - Net-Worm.Win32.Kolab.mmx ( DrWEB: Trojan.MulDrop1.51798, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )


  • Уважаемый(ая) ches66, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусная активность (заявка №70384)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 11.05.2011, 20:00
    2. высокая вирусная активность
      От alexch в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.10.2010, 15:13
    3. Вирусная активность в сетке
      От xclock в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.08.2009, 15:50
    4. Постоянная вирусная активность
      От ALP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.10.2008, 09:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00249 seconds with 16 queries