Показано с 1 по 12 из 12.

возможно Net-Worm.Win32 (заявка № 99236)

  1. #1
    Junior Member Репутация
    Регистрация
    27.11.2009
    Сообщений
    18
    Вес репутации
    30

    Thumbs up возможно Net-Worm.Win32

    вот уже полгода воюю с трояном в лице ezfxiww.dll, я его удалю а он опять через пару дней появляется, раньше его видел и лечил каспер и др.веб, авз писал что подозрение на троян, этот зверь качал с нета разные трояны, блокировал диспетчер задач и реестр, потом каспер и авз перестали его видеть , ловил только др.веб, вот пару недель назат он опять появился, в C:\WINDOWS\Temp, авз, каспер и дрвеб на него не реагируют, он не блокирует ни диспетчер задач ни реестр ни скрывает скрытые файлы, заметил его только тогда когда на флешке создалась папка RECYCLER с файлом jwgkvsq.vmx + пошла блокировка всех сайтов где можно скачать антивирус

    пока что я его удаляю так ( на несколько дней пропадает)
    Код:
     
    begin
    QuarantineFile('C:\WINDOWS\Temp\ezfxiww.dll',   'Подозрительное имя, возможно Trojan.Agent');
    if SetAVZGuardStatus(True) then 
      AddToLog('AVZGuard успешно активирован')
     else
      AddToLog('AVZGuard - ошибка активации');
      DeleteFile(' C:\WINDOWS\Temp\ezfxiww.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
    RebootWindows(true);
    end.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    27.11.2009
    Сообщений
    18
    Вес репутации
    30
    да , и что значит
    >>> Подозрение на маскировку ключа реестра службы\драйвера "cnleg"
    >>> Подозрение на маскировку ключа реестра службы\драйвера "crvjmttzt"
    >>> Подозрение на маскировку ключа реестра службы\драйвера "oeuaw"
    >>> Подозрение на маскировку ключа реестра службы\драйвера "vvllgo"

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\ezfxiww.dll','');
    DeleteFile('C:\WINDOWS\System32\ezfxiww.dll');
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NZ2DEK02\lxef[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NZ2DEK02\lxef[1].exe');
    DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*',true);
    BC_ImportALL;
    ExecuteSysClean;
    BC_ServiceKill('cnleg');
    BC_ServiceKill('crvjmttzt');
    BC_ServiceKill('oeuaw');
    BC_ServiceKill('vvllgo');
    BC_DeleteSvc('amsint32');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=99236).
    Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    27.11.2009
    Сообщений
    18
    Вес репутации
    30
    так, выполнил скрипт , карантин отправил, сайты антивируса по-прежнему блокируются , и на флешке создается папка RECYCLER с файлом jwgkvsq.vmx

    теперь пишет авз
    >>> Подозрение на маскировку ключа реестра службы\драйвера "vzytmh"

    процесс svchost.exe постоянно чтото качает с интернета
    Последний раз редактировалось Monstra; 13.03.2011 в 23:12.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Сделайте лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    27.11.2009
    Сообщений
    18
    Вес репутации
    30
    вот, наконецто добрался до интернета
    вот, лог (вернее что смог сделать, ибо через пару минут после запуска gmer компьютер уходит в даун - окно смерти)

    ругается на
    Service >> C:\WINDOWS\system32\svchost.exe (*** hidden *** ) >>> [AUTO] vzytmh <-- ROOTKIT !!!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Подключите свою флэшку и оставьте подключенной до конца лечения.

    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\System32\artsh.dll','');
    DeleteFile('C:\WINDOWS\System32\artsh.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_ServiceKill('vzytmh');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=99236).
    Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    27.11.2009
    Сообщений
    18
    Вес репутации
    30
    все отлично доступ к сайтам типа virusinfo.info появился) и корзина на флешке несоздается, жаль что в карантин artsh.dll не лег, авз написал - ошибка карантина и папка Quarantine пустая

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Чисто.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.11.2009
    Сообщений
    18
    Вес репутации
    30
    этот негодяй опять появился, все почистил и наконец то сделал карантин))
    выслал

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Monstra Посмотреть сообщение
    этот негодяй опять появился
    Это червь, который распространяется как по сети, так и через съемные носители.

    1. Установите все доступные обновления безопасности для Windows, чтобы закрыть уязвимости системы.
    2. Установите антивирус, без этого заражение не заставит себя ждать.
    I am not young enough to know everything...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\nz2dek02\\lxef[1].exe - P2P-Worm.Win32.Palevo.bjiw ( DrWEB: Trojan.Fakealert.25706, BitDefender: Trojan.Generic.KDV.84259, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      2. c:\\windows\\system32\\artsh.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Trojan.Click1.57751, BitDefender: Trojan.Generic.3931427, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\\windows\\temp\\ezfxiww.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Trojan.Click1.57751, BitDefender: Trojan.Generic.3931427, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Monstra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Возможно, Net-Worm.Kido (?) Помогите, пожалуйста:)
      От MorganeShelimar в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.05.2009, 16:55
    2. Ответов: 24
      Последнее сообщение: 11.04.2009, 23:10
    3. Email-Worm.Win32.Rays и возможно другие вирусы
      От Florans в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 01:40
    4. Возможно вирус Net-Worm.Win32.Kido
      От webdor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.01.2009, 15:54
    5. Ответов: 1
      Последнее сообщение: 01.08.2007, 03:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01505 seconds with 16 queries