Показано с 1 по 10 из 10.

Выручайте, помогите завалить зловреда (заявка № 108344)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2011
    Сообщений
    4
    Вес репутации
    20

    Выручайте, помогите завалить зловреда

    Завелся какой-то чудик в машине. Сначала заметил что DrWeb в трее загорелся с восклицательным знаком, при детальном осмотре выяснил что не запущены процессы Guard, Родительский контроль и так далее. А так же обнаружил в процессах запущенный файлик с именем 23847884399:4027833201.exe но он не глушиться ни диспетчером задач, ни AVZ-шным диспетчером процессов, вроде и интернет работает, но глюки при запуске exe-шников....пишет типа "отказано в доступе к указаному устройству, пути или файлу.Возможно, у вас нет нужных прав доступа к этому обьекту". Перегружусь вроде работают но не надолго.. Руками удаляю этот файлик но он пустой с ним еще появляется еще файло с именем 0.log Прикрепил файлик с отчетом....за ранее спасибо жду помощи!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Southerner, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Отключите восстановление системы!

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\2384784399:4027833201.exe','');
     QuarantineFile('c:\windows\2384784399:4027833201.exe:$DATA','');
     DelCLSID('{35TBC5C0-4FuB-31XF-AAC6-21CX1C6Og22}');
     DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187666}');
     DelCLSID('{63KLC5K0-4OPM-00WE-AAX8-17EF1D187263}');
     QuarantineFile('c:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe','');
     QuarantineFile('C:\Soft\G-414141ERER-1233211231-12313242131-555\FEB.exe','');
     QuarantineFile('C:\THE\DANCE\DeaTH.exe','');
     DelBHO('{87B10BE9-7FB0-49C4-638A-54BAD651B1F5}');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\ttkiimry.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\ttkiimry.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','PC Health Status');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','PC Health Status');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','amva');
     DeleteFile('C:\Soft\G-414141ERER-1233211231-12313242131-555\FEB.exe');
     DeleteFile('c:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe');
     DeleteFile('C:\THE\DANCE\DeaTH.exe');
     DeleteFile('c:\windows\2384784399:4027833201.exe:$DATA');
     DeleteFile('c:\windows\2384784399:4027833201.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    05.09.2011
    Сообщений
    4
    Вес репутации
    20
    Сначала этот файлик с кучей цифр не появился, но проблемы с запуском и модификацией EXE-шников остались. Но потом он опять появился после не которых перезагрузок. Прикладываю логи. Так же не могу поставить DrWeb и запустить HijackThis, тоесть HijackThis запускается но логи не сохраняет потому что программа сворачивается.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Код:
    begin
    Executerepair(1);
    Executerepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end
    Сделайте лог полного сканирования МВАМ

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2011
    Сообщений
    4
    Вес репутации
    20
    Цитата Сообщение от Шапельский Александр
    Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"
    полного сканирования МВАМ[/url]
    Вроде победил этого паразита...

    Не получилось у меня сделать лог....Как и писал, этот паразит модифицировал все ex-зешники к которым я обрашался, до того дошло, что он гадёныш завалил и Dr.Web CureIt! (су....ёк 72 мб коту под хвост), хотя Антивирь DrWeb спокойно востановился и работают все его приложения,убил и HiJackThis, и AVZ тоже похерил, при работе с ней приходилось включать или включать AVZGuard или заменять файлик постоянно, но тоже не просто подменой - а сначала Unlocker-ом удаляешь а потом только подменяешь, просто не удалить тот exe-шник который он модифицировал.
    После некоторых мытарств, вычитал темку на форуме по схожей проблеме, скачал утилитку TDSSKiller - просканировал и оказался это он и есть, нашел 3 хрени, грохнул их, перегрузился и Антивирь заработал, обновил, поставил на сканирование, но ничего не нашел
    Вроде все норм, но проблемка как раз в том, что все исполняемые файлики (*.exe) к которым обращался по ходу борьбы с зловредом, не запускаются, все утилитки погибли и именно только запускаемый файл, остальные норм, удаляешь кривой файл Unlocker-ом и переустанавливаешь или заменяешь его из заранее скопированной папки, только TDSSKiller и GMER не поддались этой скатине, пардон за мой французский, весь мозг мене высушил этот вирь....
    Если не трудно я щас выложу логи гляньте пожалуйста может что и осталось...за ранее благодарю.
    Вложения Вложения

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    05.09.2011
    Сообщений
    4
    Вес репутации
    20
    Вот отчет
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\BarQuery (PUP.Zwangi) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\PdmSoftware (Trojan.Ransom) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BarQuery (PUP.Zwangi) -> No action taken.
    Зараженные папки:
    c:\documents and settings\all users\application data\BarQuery (PUP.Zwangi) -> No action taken.
    c:\program files\BarQuery (PUP.Zwangi) -> No action taken.
    c:\program files\relevantknowledge (Spyware.MarketScore) -> No action taken.
    c:\program files\relevantknowledge\components (Spyware.MarketScore) -> No action taken.
    c:\ROM\p-43553jiyw-8374322329-0909090987-120 (Trojan.Agent) -> No action taken.
    c:\Soft\g-414141erer-1233211231-12313242131-555 (Worm.AutoRun) -> No action taken.
    Зараженные файлы:
    c:\program files\relevantknowledge\rlph.dll (Adware.RelevantKnowledge) -> No action taken.
    c:\program files\relevantknowledge\rlxf.dll (Adware.RelevantKnowledge) -> No action taken.
    c:\system volume information\_restore{9c3848a1-76e9-4034-8c18-3f1c0578417e}\RP504\A0207437.exe (PUP.FileHunter) -> No action taken.
    c:\program files\BarQuery\uninstall.exe (PUP.Zwangi) -> No action taken.
    c:\program files\relevantknowledge\install.rdf (Spyware.MarketScore) -> No action taken.
    c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> No action taken.
    c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> No action taken.
    c:\program files\relevantknowledge\rloci.bin (Spyware.MarketScore) -> No action taken.
    c:\ROM\p-43553jiyw-8374322329-0909090987-120\DeSkToP.ini (Trojan.Agent) -> No action taken.
    c:\Soft\g-414141erer-1233211231-12313242131-555\DeSkToP.ini (Worm.AutoRun) -> No action taken.
    c:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken.
    Сделайте новый лог МВАМ

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Southerner, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Выручайте
      От aska93 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.02.2012, 01:18
    2. выручайте!!!!
      От vasjamontana в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2011, 13:28
    3. Выручайте
      От иванников в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.09.2009, 18:38
    4. Выручайте!
      От MGM в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 02:15
    5. Выручайте!
      От vector в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.02.2009, 11:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00147 seconds with 22 queries