• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена wwwznv32.exe и svchost

Статус
В этой теме нельзя размещать новые ответы.

HoHuK

Активный пользователь
Сообщения
8
Симпатии
0
#1
Не отличаясь оригинальностью, подцепил обе этих гадости. Притом svchost грузит мои три проца на 33%, когда удаляешь - появляется окно с инфой "nt authority/services" и "неожиданное завершение службы Запуск серверных процессов DCOM" и отсчётом до перезагрузки через минуту. Логи вложены.
 

Вложения

Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#2
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\920a583e.exe.vir','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
 QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('C:\WINDOWS\system32\920a583e.exe.vir');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
DeleteFileMask('C:\BIN', '*.*', true);
DeleteDirectory('C:\BIN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи
 

HoHuK

Активный пользователь
Сообщения
8
Симпатии
0
#3
Логи каких программ делать?
 

akok

Команда форума
Администратор
Сообщения
14,004
Симпатии
11,715
#4
HoHuK, нужно подготовить свежий комплект логов AVZ и RSIT.
 

akok

Команда форума
Администратор
Сообщения
14,004
Симпатии
11,715
#6
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

HoHuK

Активный пользователь
Сообщения
8
Симпатии
0
#7
NOD отключаться не пожелал, поэтому проводилось с ним.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,004
Симпатии
11,715
#8
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6148:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И лог RSIT повторите. И необходимо отключить NOD.
 

HoHuK

Активный пользователь
Сообщения
8
Симпатии
0
#9
Вот новые логи. Центр управления НОД (nod32kui.exe) вырубился, а вот nod32krn.exe никак не хотел. Отключал его через auslogics boost speed, он снова появлялся через секунду. Его родитель - services.exe. Посмотрел по местоположению файла - находится в program files\eset. Ещё есть NOD32KRN.EXE-0D2DFBDC.pf, который находится в windows\prefetch. Trojan remover в обоих ничего не нашёл. Инет пишет, что nod32krn.exe и должен находится в program files\eset.
 

Вложения

HoHuK

Активный пользователь
Сообщения
8
Симпатии
0
#10
Что нашёл Каспер -
920a583e.exe.vir - Backdoor.Win32.Shiz.gen

Детектирование файла будет добавлено в следующее обновление.

bcqr00007.dat,
bcqr00008.dat,
wwwznv32.exe
fjhdyfhsn.bat

Файлы в процессе обработки.

С уважением, Лаборатория Касперского
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#11
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\14fe0dd9.exe
c:\documents and settings\NetworkService\Application Data\swqatk.dat

Driver::
dwshd

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 

HoHuK

Активный пользователь
Сообщения
8
Симпатии
0
#12
Новый отчёт ComboFix
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,004
Симпатии
11,715
#13
Что с проблемами?
 

akok

Команда форума
Администратор
Сообщения
14,004
Симпатии
11,715
#15
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 
Статус
В этой теме нельзя размещать новые ответы.