-
Junior Member
- Вес репутации
- 54
снова wjdrive32.exe, vyre32.exe, vr.exe (продолжение)
Снова здравствуйте! Я вчера был у вас здесь, лечился от вирусов. После лечения всё было нормально (никаких вирусов, никаких подозрений). Сегодня утром включил комп, чтобы скачать какой-нибудь антивирус, и сразу всё стало по старому: рабочий стол изменился, комп тормозить стал, в диспетчере задач процессы "vyre32", "wjdrive32" и кроме них ещё другие появились. Комп без моего ведома стал подключаться к интернету.
Что происходит? Откуда они залезли или лезут? Что делать, если и сейчас лечение не поможет?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('C:\WINDOWS\winstart.bat','');
QuarantineFile('C:\WINDOWS\system32\vyre32.exe','');
QuarantineFile('C:\WINDOWS\system32\vr.exe','');
DeleteFile('C:\WINDOWS\system32\vr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vr');
DeleteFile('C:\WINDOWS\system32\vyre32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
DeleteFile('C:\WINDOWS\winstart.bat');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.
-
-
Junior Member
- Вес репутации
- 54
Хм... В папке quarantine у меня ничего нет
Логи-->
-
Junior Member
- Вес репутации
- 54
Что делать? Лечение не помогло! Они опять появились! Все те же самые симптомы! Я вообще никуда не лазил, только на рабочем столе находился и всё. Это произошло после нескольких перезагрузок. Теперь заново они создались wjdrive32.exe, vyre32.exe, vr.exe
P.S. снова выполнил скрипт теперь карантин появился. Запрошенный карантин прислал
Последний раз редактировалось ZVERSKY; 21.01.2011 в 14:20.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\XP-5C8D62C7.EXE','');
DeleteFile('C:\WINDOWS\system32\XP-5C8D62C7.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-5C8D62C7');
DeleteFile('C:\WINDOWS\system32\vyre32.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 54
файл quarantine.zip АВЗ создал, но в нём пусто, поэтому не вижу смысла его присылать, а при попытке создать архив вручную пишет, что "Процесс не может получить доступ к файлу, так как этот файл занят другим процессом."
Логи сделал, МВАМ тоже сделал
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\Admin\hesc.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\vr.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\vyre32.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\B8HTP27A\ms[1].exe (Trojan.Scar) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\B8HTP27A\ver[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\B8HTP27A\war[1].gif (Extension.Mismatch) -> No action taken.
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 54
Повторный лог сделал. После перезагрузке удалось сделать файл "quarantine.zip". Он уже закачан.
-
-
-
Junior Member
- Вес репутации
- 54
Спасибо, если вдруг появится опять, то отпишусь
-
Junior Member
- Вес репутации
- 54
Снова. Все те же симптомы, я скрипт выполнил заново, они пропали. Появились опять после нескольких перезагрузок. Что теперь делать?
-
Установите все новые обновления для Windows
И снова логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Trojan.Win32.Pincav.awiu ( DrWEB: Win32.HLLW.Autoruner.43155, BitDefender: Trojan.Generic.KD.112839, AVAST4: Win32:Trojan-gen )
- c:\\windows\\wjdrive32.exe - Net-Worm.Win32.Kolab.sbk ( DrWEB: Trojan.Inject.20559, BitDefender: Trojan.Generic.KD.113824, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )
-