Заметил что дня 2 назад очень стал медленно работать интернет и появляются процессы Google.exe , Wmiprvse.exe
находил вирус Trojan-Downloader.Win32.Dadobra.flw
Заметил что дня 2 назад очень стал медленно работать интернет и появляются процессы Google.exe , Wmiprvse.exe
находил вирус Trojan-Downloader.Win32.Dadobra.flw
Последний раз редактировалось uran14; 23.01.2012 в 14:02.
Уважаемый(ая) uran14, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('M:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('L:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('K:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('J:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('I:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('H:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('G:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('F:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('E:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFile('C:\WINDOWS\system32\hls\Helper.exe',''); QuarantineFile('C:\WINDOWS\system32\hlm\start.cmd',''); QuarantineFileF('C:\WINDOWS\system32\hlm', '*.*', false,'', 0, 0); DeleteFile('M:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('L:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('K:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('J:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('I:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('H:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('G:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('F:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('E:\WINDOWS\system32\hlm\start.cmd'); DeleteFile('C:\WINDOWS\system32\hlm\start.cmd'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg2'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg5'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg6'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg7'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg8'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg9'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msg10'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот логи,Карантин вроде дошёл.
Пока под вопросом остается файл C:\WINDOWS\system32\hls\Helper.exe
C:\Documents and Settings\DOM\Joker\JokerLoader.js - что за скрипт Вам известно?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteFile('C:\WINDOWS\system32\hlm\google.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Нет даже незнаю что это за скрипт.. когда захожу там даже такой папки нет..(скрытое показывает)
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin DeleteFile('C:\Documents and Settings\DOM\Joker\JokerLoader.js'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JokerLoader'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде по прежнему всё так же. вот заметил 2 одинаковых процесса wmiprvse.exe один System Другой Network Service
Последний раз редактировалось uran14; 24.01.2012 в 15:31.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот вроде оно..
D:\Программы\Winrar 4.65 (Crack + Rus)\Winrar 4.65 Full.exe - где это Вы такую версию архиватора наши?
Удалите в МВАМ только указанные ниже записиКод:Обнаруженные ключи в реестре: 3 HKLM\SYSTEM\CurrentControlSet\Services\Helper (Trojan.Downloader) -> Действие не было предпринято. HKLM\System\CurrentControlSet\Enum\Root\LEGACY_DRVFLTIP (Rogue.UnVirex) -> Действие не было предпринято. HKLM\System\CurrentControlSet\Services\DrvFltIp (Rogue.UnVirex) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Fix Core OTP (Trojan.Downloader) -> Параметры: C:\WINDOWS\system32\hls\Helper.exe -> Действие не было предпринято. Объекты реестра обнаружены: 2 HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Плохо: ("regedit.exe" "%1") Хорошо: (regedit.exe "%1") -> Действие не было предпринято. Обнаруженные папки: 4 C:\WINDOWS\system32\hlm (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Advanced (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Bans (Trojan.Agent) -> Действие не было предпринято. Обнаруженные файлы: 65 C:\WINDOWS\system32\hls\Helper.exe (Trojan.Downloader) -> Действие не было предпринято. C:\Documents and Settings\DOM\Рабочий стол\Новая папка (11)\avz4\Infected\2012-01-23\avz00001.dta (Trojan.Downloader) -> Действие не было предпринято. C:\WINDOWS\system32\hls\srvhls.exe (Trojan.Downloader) -> Действие не было предпринято. D:\System Volume Information\_restore{EE621DF8-AAC2-4F9F-82D8-E8B959F1119E}\RP290\A0165163.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято. D:\System Volume Information\_restore{EE621DF8-AAC2-4F9F-82D8-E8B959F1119E}\RP290\A0165167.exe (HackTool.GamesCheat.Gen) -> Действие не было предпринято. D:\Программы\Winrar 4.65 (Crack + Rus)\Winrar 4.65 Full.exe (Spyware.Agent) -> Действие не было предпринято. C:\Documents and Settings\DOM\Joker\Joker.bat (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\DOM\Joker\pic.ico (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\DOM\Joker\picture.jpg (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\config.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\msg.bat (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\clcmds.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\ctext.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\gamenames.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\hostnames.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\mappings.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\maps.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\packets.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\players.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\redirect.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\rules.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\slist.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Advanced\masters.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Bans\ipranges.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Bans\ips.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Bans\nicknames.txt (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\hlm\Config\Bans\packets.txt (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да незнаю даже где нашёл..Старые файлы))
Вот лог.
Последний раз редактировалось uran14; 24.01.2012 в 23:48.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
НУ комп сам по себе стал лучше работать,во много лучше.. Но интернет чтото так же.. буду значит искать причину в чём то другом.. Из того что вы у меня обнаружили было ли что либо серьёзное? что угрожало компу?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\hlm\\google.exe - Trojan-Downloader.Win32.Dadobra.flw ( DrWEB: Trojan.DownLoader5.37701, AVAST4: Win32:HLProxy-A [Trj] )
Уважаемый(ая) uran14, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.