Перейти к содержанию

Worm.Win32.AutoRun.btzw и загрузка ЦП


Рекомендуемые сообщения

Приветствую хэлперов! При переходе на кабельный интернет вдруг активизировалась куча вирусов. А именно - Worm.Win32.AutoRun.btzw , Trojan-Downloader.JavaOpenConnection , Exploit.HTML.CUF-2010-1886.aa . О двух последних я прочёл в отчёте Касперского за тот день (11.0.1.400 базы от 14.01.11), далее они себя не проявляли. Началось с зависания интернета через короткий срок, при попытке выйти. Антивирус иногда вдруг находил Worm.Win32.AutoRun, но полная проверка зависала то в начале, то на 28%. Позже стал загружаться только рабочий стол и панель ПУСК, без возможности что-либо делать. В безопасном режиме отключил восстановление системы и отключил поиск руткитов в AVP. После чего система стала загружаться в обычном режиме, стало возможно работать. Но при попытке выхода в интернет, system32/svchost.exe пытается "загрузить объект" с *** содержащего вредоносную ссылку. Касперский его на этом ловит. Через 1-5 минут процесс AVP грузит цп на 99% и работа становится невозможной. Фальшивый svchost я не нашел. Зато AVP в диспетчере задач у меня два. Не имею опыта в борьбе с вирусами и прошу знающих людей помочь мне. Система Windows xp sp2. Базы антивируса обновить не удаётся. Все необходимые логи прилагаются.

Строгое предупреждение от модератора Mark D. Pearlstone
Ссылка удалена. Не выкладывайте такое.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты
Зато AVP в диспетчере задач у меня два.

это нормально.

Система Windows xp sp2

а вот это плохо. нужно будет обновить до sp3

 

Проверьте компьютер утилитой из этой статьи:

http://support.kaspersky.ru/faq/?qid=208639606

полученный лог из корня диска С приложите.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WaitSvc', 4);
StopService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\msvcp90.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\waitaprnlib.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS');
DeleteFile('c:\windows\system32\waitaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaitSvc\Parameters','ServiceDll');
DeleteService('WaitSvc', );
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Выполните скрипт из этого сообщения:

http://virusnet.info/forum/showthread.php?t=9188

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты

После первого скрипта загрузка ЦП пропала. В сеть больше никто не лезет.

Это от Касперского ответ Раскрывающийся текст:

bcqr00001.dat,

bcqr00002.dat

 

Файлы нулевой длины.

 

bcqr00003.dat,

bcqr00004.dat,

tcpz-x86d.sys

 

Вредоносный код в файлах не обнаружен.

 

waitaprnlib.dll - Net-Worm.Win32.Kolab.sdp

 

Детектирование файла будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

Интернет обрывается спустя пару минут, при том все окна и панель ПУСК "перезагружаются" в стандартный черно-белый вид и обратно. Новые логи.

TDSSKiller.2.4.14.0_22.01.2011_18.53.39_log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Aeolus1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Ссылка на сообщение
Поделиться на другие сайты

Такие дела. Базы я новые скачал, после ответа от Касперского. Комбо Фикс поработал, перезагрузился. Лог прилагаю к письму.

Интернет теперь работает минут 15 - 20. Выдаёт ошибку. Раскрывающийся текст:

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

 

szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown

szModVer : 0.0.0.0 offset : 001f1cb0

 

 

C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\svchost.exe.mdmp

C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\appcompat.txt

И отрубается. Касперский выловил тот самый Net-Worm.Win32.Kolab.sdp. Но не до конца, тот постоянно лезет в сеть через svchost и на том попадается.5294e5e03c68t.jpg

Ещё так бывает. b361f87f1308t.jpg

ComboFix.txt

Изменено пользователем Aeolus1
Ссылка на сообщение
Поделиться на другие сайты

Благодарю товарищей Roman_Five и thyrex, в следствии выполнения их рекомендаций удалось приблизить победу над ненавистными червями.

Но представляется мало возможным устанавливать сейчас массивные пакеты обновлений, так как компьютер и интернет работают нестабильно.

Касперский ловит Net-Worm.Win32.Kolab.sdp под разными личинами. Каждое лечение занимает не менее 20 минут с последующей перезагрузкой.

Полная проверка останавливается на файлах вида system32/A99(28,98).exe , которые иногда определяются Касперским, как тот самый червь.

Временами возвращается загрузка Цп avp и попытки загрузить ту же вредоносную ссылку.

Хотелось бы узнать, является ли загрузка обновлений (sp3,IE и т.д.) единственным методом лечения.

Ссылка на сообщение
Поделиться на другие сайты
единственным методом лечения.

профилактики.

да.

 

начните с этого:

http://www.microsoft.com/downloads/details...;displayLang=ru

скачайте на другом компьютере и установите на своём.

Ссылка на сообщение
Поделиться на другие сайты

От Kido помогает только фаервол. Установите какойто фаервол, например Pc Tools (он бесплатный) и кидо больше не будет, он лезит к Вам из локальной сети.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...