• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена wwwznv32.exe и svchost

Статус
В этой теме нельзя размещать новые ответы.

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Не отличаясь оригинальностью, подцепил обе этих гадости. Притом svchost грузит мои три проца на 33%, когда удаляешь - появляется окно с инфой "nt authority/services" и "неожиданное завершение службы Запуск серверных процессов DCOM" и отсчётом до перезагрузки через минуту. Логи вложены.
 

Вложения

  • log.txt
    46.6 KB · Просмотры: 2
  • info.txt
    27.2 KB · Просмотры: 0
  • virusinfo_syscure.zip
    21.9 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    23.4 KB · Просмотры: 0
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\920a583e.exe.vir','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
 QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('C:\WINDOWS\system32\920a583e.exe.vir');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
DeleteFileMask('C:\BIN', '*.*', true);
DeleteDirectory('C:\BIN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи
 

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Логи каких программ делать?
 

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
HoHuK, нужно подготовить свежий комплект логов AVZ и RSIT.
 

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Новые логи
 

Вложения

  • info.txt
    27.2 KB · Просмотры: 0
  • log.txt
    46.5 KB · Просмотры: 2
  • virusinfo_syscure.zip
    21.4 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    23.2 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
NOD отключаться не пожелал, поэтому проводилось с ним.
 

Вложения

  • ComboFix.txt
    19.1 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6148:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И лог RSIT повторите. И необходимо отключить NOD.
 

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Вот новые логи. Центр управления НОД (nod32kui.exe) вырубился, а вот nod32krn.exe никак не хотел. Отключал его через auslogics boost speed, он снова появлялся через секунду. Его родитель - services.exe. Посмотрел по местоположению файла - находится в program files\eset. Ещё есть NOD32KRN.EXE-0D2DFBDC.pf, который находится в windows\prefetch. Trojan remover в обоих ничего не нашёл. Инет пишет, что nod32krn.exe и должен находится в program files\eset.
 

Вложения

  • log.txt
    45.3 KB · Просмотры: 1
  • info.txt
    27.2 KB · Просмотры: 0
  • ComboFix.txt
    20.4 KB · Просмотры: 1

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Что нашёл Каспер -
920a583e.exe.vir - Backdoor.Win32.Shiz.gen

Детектирование файла будет добавлено в следующее обновление.

bcqr00007.dat,
bcqr00008.dat,
wwwznv32.exe
fjhdyfhsn.bat

Файлы в процессе обработки.

С уважением, Лаборатория Касперского
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\14fe0dd9.exe
c:\documents and settings\NetworkService\Application Data\swqatk.dat

Driver::
dwshd

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 

HoHuK

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Новый отчёт ComboFix
 

Вложения

  • ComboFix.txt
    30 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
Что с проблемами?
 

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу