Перейти к содержанию

Worm.Win32.AutoRun.btzw и загрузка ЦП


Aeolus1

Рекомендуемые сообщения

Приветствую хэлперов! При переходе на кабельный интернет вдруг активизировалась куча вирусов. А именно - Worm.Win32.AutoRun.btzw , Trojan-Downloader.JavaOpenConnection , Exploit.HTML.CUF-2010-1886.aa . О двух последних я прочёл в отчёте Касперского за тот день (11.0.1.400 базы от 14.01.11), далее они себя не проявляли. Началось с зависания интернета через короткий срок, при попытке выйти. Антивирус иногда вдруг находил Worm.Win32.AutoRun, но полная проверка зависала то в начале, то на 28%. Позже стал загружаться только рабочий стол и панель ПУСК, без возможности что-либо делать. В безопасном режиме отключил восстановление системы и отключил поиск руткитов в AVP. После чего система стала загружаться в обычном режиме, стало возможно работать. Но при попытке выхода в интернет, system32/svchost.exe пытается "загрузить объект" с *** содержащего вредоносную ссылку. Касперский его на этом ловит. Через 1-5 минут процесс AVP грузит цп на 99% и работа становится невозможной. Фальшивый svchost я не нашел. Зато AVP в диспетчере задач у меня два. Не имею опыта в борьбе с вирусами и прошу знающих людей помочь мне. Система Windows xp sp2. Базы антивируса обновить не удаётся. Все необходимые логи прилагаются.

Строгое предупреждение от модератора Mark D. Pearlstone
Ссылка удалена. Не выкладывайте такое.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Зато AVP в диспетчере задач у меня два.

это нормально.

Система Windows xp sp2

а вот это плохо. нужно будет обновить до sp3

 

Проверьте компьютер утилитой из этой статьи:

http://support.kaspersky.ru/faq/?qid=208639606

полученный лог из корня диска С приложите.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WaitSvc', 4);
StopService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\msvcp90.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\waitaprnlib.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS');
DeleteFile('c:\windows\system32\waitaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaitSvc\Parameters','ServiceDll');
DeleteService('WaitSvc', );
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Выполните скрипт из этого сообщения:

http://virusnet.info/forum/showthread.php?t=9188

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

После первого скрипта загрузка ЦП пропала. В сеть больше никто не лезет.

Это от Касперского ответ Раскрывающийся текст:

bcqr00001.dat,

bcqr00002.dat

 

Файлы нулевой длины.

 

bcqr00003.dat,

bcqr00004.dat,

tcpz-x86d.sys

 

Вредоносный код в файлах не обнаружен.

 

waitaprnlib.dll - Net-Worm.Win32.Kolab.sdp

 

Детектирование файла будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

Интернет обрывается спустя пару минут, при том все окна и панель ПУСК "перезагружаются" в стандартный черно-белый вид и обратно. Новые логи.

TDSSKiller.2.4.14.0_22.01.2011_18.53.39_log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Aeolus1
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Ссылка на комментарий
Поделиться на другие сайты

Такие дела. Базы я новые скачал, после ответа от Касперского. Комбо Фикс поработал, перезагрузился. Лог прилагаю к письму.

Интернет теперь работает минут 15 - 20. Выдаёт ошибку. Раскрывающийся текст:

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

 

szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown

szModVer : 0.0.0.0 offset : 001f1cb0

 

 

C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\svchost.exe.mdmp

C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\appcompat.txt

И отрубается. Касперский выловил тот самый Net-Worm.Win32.Kolab.sdp. Но не до конца, тот постоянно лезет в сеть через svchost и на том попадается.5294e5e03c68t.jpg

Ещё так бывает. b361f87f1308t.jpg

ComboFix.txt

Изменено пользователем Aeolus1
Ссылка на комментарий
Поделиться на другие сайты

Благодарю товарищей Roman_Five и thyrex, в следствии выполнения их рекомендаций удалось приблизить победу над ненавистными червями.

Но представляется мало возможным устанавливать сейчас массивные пакеты обновлений, так как компьютер и интернет работают нестабильно.

Касперский ловит Net-Worm.Win32.Kolab.sdp под разными личинами. Каждое лечение занимает не менее 20 минут с последующей перезагрузкой.

Полная проверка останавливается на файлах вида system32/A99(28,98).exe , которые иногда определяются Касперским, как тот самый червь.

Временами возвращается загрузка Цп avp и попытки загрузить ту же вредоносную ссылку.

Хотелось бы узнать, является ли загрузка обновлений (sp3,IE и т.д.) единственным методом лечения.

Ссылка на комментарий
Поделиться на другие сайты

единственным методом лечения.

профилактики.

да.

 

начните с этого:

http://www.microsoft.com/downloads/details...;displayLang=ru

скачайте на другом компьютере и установите на своём.

Ссылка на комментарий
Поделиться на другие сайты

От Kido помогает только фаервол. Установите какойто фаервол, например Pc Tools (он бесплатный) и кидо больше не будет, он лезит к Вам из локальной сети.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • donzolll
      От donzolll
      Антивирус вылечить не можетCollectionLog-2024.10.28-09.15.zip
    • KirillR
      От KirillR
      После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.
      Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется
      KVRT - угроз не нашел
      CollectionLog-2024.10.01-11.11.zip
    • IlyaIV
      От IlyaIV
      Доброе утро! Идет в нагрузку видеокарта, но очень странно, бъёт по ч астоте и памяти, при этом нагрузки на само ядро нет. Все исчезает при открытии диспетчера задач, при этом сам диспетчер автоматически не закрывается.
       
      CollectionLog-2024.05.22-08.04.zip
    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • okaj
      От okaj
      Добрый день, иногда стал замечать, что включается вентилятор на ноутбуке, хотя ничего особенного я не открывал/не играл. Захожу диспетчер задач, наблюдаю всплеск загрузки ЦП, видеокарты и сети, которая уменьшается при открытии диспетчера задач. Сделал логи frst, по аналогии предыдущим темам из данной ветки. 
      Да, каюсь, пытался использовать KMS tool, но вроде антивирусом MS defender всё почистил и удалил
      Addition.txt FRST.txt
×
×
  • Создать...