Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

2812051079:2021745496.exe (заявка № 109143)

  1. #1
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28

    2812051079:2021745496.exe

    В памяти висит процесс 2812051079:2021745496.exe
    Утилита combofix не запускается.
    Kaspesky rescue disk и drweb cureit находят и удаляют файл c:\windows\2812051079:2021745496.exe
    но после перезагрузки он снова появляется, avz приблизительно на 50-60% выпадает с ошибкой
    если приостановить avz приблизительно на 40% можно сохранить лог работы
    и сформировать архив с файлами на карантине

    В системном журнале событий появляется запись.
    Имя сбойного приложения: avz.exe, версия: 4.35.0.1, отметка времени: 0x2a425e19
    Имя сбойного модуля: WindowsCodecs.dll, версия: 6.1.7601.17514, отметка времени 0x4ce7ba3a
    Код исключения: 0xc0000005
    Смещение ошибки: 0x000f6ca9
    Идентификатор сбойного процесса: 0x2f8
    Время запуска сбойного приложения: 0x01cc76b81b9480d6
    Путь сбойного приложения: C:\Users\administrator\Downloads\avz4\avz4\avz.exe
    Путь сбойного модуля: C:\Windows\system32\WindowsCodecs.dll
    Код отчета: 117a3a12-e2b1-11e0-828b-d8d3851af843

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) alexyeyev, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    MBAM установился, обновился, запустили в нем полную провернку. Через 2 сек закрылся. Повторно не запускается "отказавно в доступе к указанному устройству, пути или файлу"
    TDSSKiller запустился сгенерировал лог. При попытк повторно запустить TDSSKiller ошибка как у MBAM

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Переименуйте АВЗ в pong.pif
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
     QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
     DeleteFile('C:\Windows\2812051079:2021745496.exe');
    BC_ImportALL;
    ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил)

    Пробуйте сделать логи.

  7. #6
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    авз переименовал, скрипт выполнился, система перезагрузилась, карантин выложил
    процесс 2812051079:2021745496.exe в памяти остался
    в авз скрипт лечения и карантина закрывает авз
    скрипт сбора информации для раздела помогите отработал

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Отключите восстановление системы!

    Скачайте "OSAM" (Online Solutions Autorun Manager).
    Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

  9. #8
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    Восстановление системы отключено.
    Osam установился, лог его работы прикрепил

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните следующее:
    1.запустите OSAM дождитесь окончания сканирования
    2.зайдите в настройки OSAM'а и нажмите на кнопку "Settings" в его верхнем меню
    3.измените опцию "Disable objects using the driver" на вариант "Always"
    4.снимите галочку напротив этой строки:
    Код:
    C:\Windows\2812051079:2021745496.exe
    5.нажимаем Apply затем нажимаем на "Reboot now" (после чего компьютер автоматически перезагрузится).
    Затем выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
     DeleteFile('C:\Windows\2812051079:2021745496.exe');
      DeleteService('877e9ca7');
    BC_ImportALL;
    ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новые логи

  11. Шапельский Александр получил(а) благодарность за это сообщение от


  12. #10
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    Восстановление системы отключено.
    В osam манипуляции произвел, перегрузился.
    Скрипт авз выполнился, карантин закачал, процесс в памяти остался.
    Удается сделать только лог скрипта сбор информации для раздела помогите

  13. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните скрипт в безопасном режиме
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
    StopService('877e9ca7');
    SetServiceStart('877e9ca7', 4);
    DeleteService('877e9ca7 ',true);
     DeleteFile('c:\windows\2812051079:2021745496.exe');
    BC_ImportAll;
    BC_DeleteFile('c:\windows\2812051079:2021745496.exe');
    BC_DeleteSvc('877e9ca7');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Сделайте новые логи

  14. Шапельский Александр получил(а) благодарность за это сообщение от


  15. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Скачайте TDSSkiller еще раз и удалите (а не пропускайте)
    877e9ca7 (8f2bb1827cac01aee6a16e30a1260199) C:\Windows\2812051079:2021745496.exe
    Suspicious file (Hidden): C:\Windows\2812051079:2021745496.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
    877e9ca7 - detected HiddenFile.Multi.Generic (1)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #13
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    Кажется помогло, после перезагрузки процесс в памяти не появился. Запустился и отработал combofix. Но попытка запустить скрипт лечения/карантина в AVZ приблизительно на 50% без ошибки закрывает AVZ.

  17. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Лог ComboFix предоставьте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #15
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    вложил

  19. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Код:
    c:\users\user\AppData\Roaming\1C
    c:\users\user\AppData\Roaming\1C\1Cv81\1cv8.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\1cv8cmn.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\1cv8strt.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8cmn.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\1cv8.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\ibases.v8i
    c:\users\user\AppData\Roaming\1C\1Cv81\v7cnv.pfl
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Новое в версии.htm
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Изменения в версии.mxl
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Измененные объекты.mxl
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.cf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.cfu
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.dt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.mft
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8upd.htm
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\Convert.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\FromStandartToProf.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\ExtProc.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\GroupProc.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ReadMe.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account7_Boss.ert
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account81_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account82_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\Схема_формата_выгрузки.html
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\СхемаФорматаВыгрузки.xml
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ПримерБезДанных.xml
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ReadMe.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade7_Boss.ert
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade81_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade82_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Transfer.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\UpdInfo.txt
    Ошибочно удаленное ComboFix восстановите http://virusinfo.info/showthread.php...l=1#post514765
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #17
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    восстановил

  21. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Проблема решена?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  22. #19
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    28
    наконец-то удалось сделать лог лечения/карантина для раздела помогите

  23. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Плохого не увидел

    Удалите ComboFix

    Удалите OSAM
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) alexyeyev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00620 seconds with 20 queries