Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

2812051079:2021745496.exe (заявка № 109143)

  1. #1
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55

    2812051079:2021745496.exe

    В памяти висит процесс 2812051079:2021745496.exe
    Утилита combofix не запускается.
    Kaspesky rescue disk и drweb cureit находят и удаляют файл c:\windows\2812051079:2021745496.exe
    но после перезагрузки он снова появляется, avz приблизительно на 50-60% выпадает с ошибкой
    если приостановить avz приблизительно на 40% можно сохранить лог работы
    и сформировать архив с файлами на карантине

    В системном журнале событий появляется запись.
    Имя сбойного приложения: avz.exe, версия: 4.35.0.1, отметка времени: 0x2a425e19
    Имя сбойного модуля: WindowsCodecs.dll, версия: 6.1.7601.17514, отметка времени 0x4ce7ba3a
    Код исключения: 0xc0000005
    Смещение ошибки: 0x000f6ca9
    Идентификатор сбойного процесса: 0x2f8
    Время запуска сбойного приложения: 0x01cc76b81b9480d6
    Путь сбойного приложения: C:\Users\administrator\Downloads\avz4\avz4\avz.exe
    Путь сбойного модуля: C:\Windows\system32\WindowsCodecs.dll
    Код отчета: 117a3a12-e2b1-11e0-828b-d8d3851af843

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) alexyeyev, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    MBAM установился, обновился, запустили в нем полную провернку. Через 2 сек закрылся. Повторно не запускается "отказавно в доступе к указанному устройству, пути или файлу"
    TDSSKiller запустился сгенерировал лог. При попытк повторно запустить TDSSKiller ошибка как у MBAM

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Переименуйте АВЗ в pong.pif
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
     QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
     DeleteFile('C:\Windows\2812051079:2021745496.exe');
    BC_ImportALL;
    ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил)

    Пробуйте сделать логи.

  7. #6
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    авз переименовал, скрипт выполнился, система перезагрузилась, карантин выложил
    процесс 2812051079:2021745496.exe в памяти остался
    в авз скрипт лечения и карантина закрывает авз
    скрипт сбора информации для раздела помогите отработал

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Отключите восстановление системы!

    Скачайте "OSAM" (Online Solutions Autorun Manager).
    Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

  9. #8
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    Восстановление системы отключено.
    Osam установился, лог его работы прикрепил

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните следующее:
    1.запустите OSAM дождитесь окончания сканирования
    2.зайдите в настройки OSAM'а и нажмите на кнопку "Settings" в его верхнем меню
    3.измените опцию "Disable objects using the driver" на вариант "Always"
    4.снимите галочку напротив этой строки:
    Код:
    C:\Windows\2812051079:2021745496.exe
    5.нажимаем Apply затем нажимаем на "Reboot now" (после чего компьютер автоматически перезагрузится).
    Затем выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
     DeleteFile('C:\Windows\2812051079:2021745496.exe');
      DeleteService('877e9ca7');
    BC_ImportALL;
    ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новые логи

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    Восстановление системы отключено.
    В osam манипуляции произвел, перегрузился.
    Скрипт авз выполнился, карантин закачал, процесс в памяти остался.
    Удается сделать только лог скрипта сбор информации для раздела помогите

  13. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт в безопасном режиме
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
    StopService('877e9ca7');
    SetServiceStart('877e9ca7', 4);
    DeleteService('877e9ca7 ',true);
     DeleteFile('c:\windows\2812051079:2021745496.exe');
    BC_ImportAll;
    BC_DeleteFile('c:\windows\2812051079:2021745496.exe');
    BC_DeleteSvc('877e9ca7');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Сделайте новые логи

  14. Это понравилось:


  15. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте TDSSkiller еще раз и удалите (а не пропускайте)
    877e9ca7 (8f2bb1827cac01aee6a16e30a1260199) C:\Windows\2812051079:2021745496.exe
    Suspicious file (Hidden): C:\Windows\2812051079:2021745496.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
    877e9ca7 - detected HiddenFile.Multi.Generic (1)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #13
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    Кажется помогло, после перезагрузки процесс в памяти не появился. Запустился и отработал combofix. Но попытка запустить скрипт лечения/карантина в AVZ приблизительно на 50% без ошибки закрывает AVZ.

  17. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог ComboFix предоставьте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #15
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    вложил

  19. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Код:
    c:\users\user\AppData\Roaming\1C
    c:\users\user\AppData\Roaming\1C\1Cv81\1cv8.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\1cv8cmn.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\1cv8strt.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8cmn.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\1cv8.pfl
    c:\users\user\AppData\Roaming\1C\1Cv81\ibases.v8i
    c:\users\user\AppData\Roaming\1C\1Cv81\v7cnv.pfl
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Новое в версии.htm
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Изменения в версии.mxl
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Измененные объекты.mxl
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.cf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.cfu
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.dt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.mft
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8upd.htm
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\Convert.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\FromStandartToProf.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\ExtProc.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\GroupProc.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ReadMe.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account7_Boss.ert
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account81_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account82_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\Схема_формата_выгрузки.html
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\СхемаФорматаВыгрузки.xml
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ПримерБезДанных.xml
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ReadMe.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade7_Boss.ert
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade81_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade82_Boss.epf
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Transfer.txt
    c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\UpdInfo.txt
    Ошибочно удаленное ComboFix восстановите http://virusinfo.info/showthread.php...l=1#post514765
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #17
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    восстановил

  21. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  22. #19
    Junior Member Репутация
    Регистрация
    18.05.2009
    Сообщений
    42
    Вес репутации
    55
    наконец-то удалось сделать лог лечения/карантина для раздела помогите

  23. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Плохого не увидел

    Удалите ComboFix

    Удалите OSAM
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) alexyeyev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00493 seconds with 18 queries