Показано с 1 по 10 из 10.

Странные процессы в автозагрузке (заявка № 120461)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    17
    Вес репутации
    47

    Странные процессы в автозагрузке

    Зашёл в автозагрузку в msconfig
    и увидел кучу странных процессов
    +еще один (внизу), убериаю с него галку, жму "применить" и галка возвращается
    по адресу, указанному, где он должен находится, его нет.
    облазил реестр, ничего не нашёл
    скрин прилагается


    UPDATED
    перезашёл в msconfig, он пропал о_О
    остались зато куча тех непонятных выше (говорят, что находятся по адресу appdata\loca\temp\tempfiles.exe) правда файла этого я там не вижу)
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Deidara74; 19.05.2012 в 22:11.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Deidara74, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Пофиксите в HijackThis:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3F806EAF-A6A9-4E41-959F-9CC57E394C77}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6C14EB24-751D-4D06-8D6F-5E8769C30458}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{80E067A4-D97E-4BCA-9E28-BD1169770CC8}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{930730F1-849A-45E2-ABE4-A7DD94EAFCB5}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B1AB56AA-CD69-45C2-9C4D-F59B47CF9430}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB6703F-B092-46B6-A4EC-EADC074F00CF}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3F806EAF-A6A9-4E41-959F-9CC57E394C77}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3F806EAF-A6A9-4E41-959F-9CC57E394C77}: NameServer = 127.0.0.1
    - Выполните в АВЗ:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\oouquuw','');
     QuarantineFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Its6y3tQStM.exe','');
     QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\tempfiles.exe','');
     QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\krswerk.exe','');
     DeleteFile('C:\plg.txt');
     DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\oouquuw');
     DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\krswerk.exe');
     DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\tempfiles.exe');
     DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Its6y3tQStM.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S11413668');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S13411570');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S14355103');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S171172192');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S182173131');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S18452150');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S186102114');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S24190153');
     regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\userinit');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Повторите логи АВЗ и РСИТ.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    17
    Вес репутации
    47
    Файл сохранён как 120519_185000_quarantine_4fb7eb58bcca5.zip
    Размер файла 145422
    MD5 dba1dc3c7459a63de764902839e507af



    syscure будет позже чуток, проверяется)
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите вручную:
    Код:
    C:\Users\Андрей\AppData\Roaming\KholGq3oifNJXcJ
    C:\KholGq3oifNJXcJ
    Смените все пароли

    - Еще бы лог полного сканирования MBAM не помешал...

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    17
    Вес репутации
    47
    доделал, всё, что просили




    p.s. посоветуйте антивирус, мой ничего не видит, раз пятый уже всё проверять приходится и постоянно говоря тменять пароли D:
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Удалите в MBAM:
    Код:
    HKCR\AppID\{610EBFCC-8014-4224-8789-FA7E8E705569} (Adware.Torangz) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{31A0D938-3055-46BA-8919-59E44E0D7E51} (Adware.Torang) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{31A0D938-3055-46BA-8919-59E44E0D7E51} (Adware.Torang) -> Действие не было предпринято.
    HKCR\torangcomz.TorangBand (Adware.Agent) -> Действие не было предпринято.
    HKCR\torangcomz.TorangBand.1 (Adware.Agent) -> Действие не было предпринято.
    HKCR\torangcomz.torangcomz (Adware.Agent) -> Действие не было предпринято.
    HKCR\torangcomz.torangcomz.1 (Adware.Agent) -> Действие не было предпринято.
    HKCR\AppID\torangcomz.DLL (Adware.Torangz) -> Действие не было предпринято.
    HKCU\Software\Keyword Search (Adware.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.
    
    C:\Users\Андрей\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\3e13fa51-5dac5021 (Trojan.Agent.SZ) -> Действие не было предпринято.
    
    C:\Users\Андрей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

    Цитата Сообщение от Deidara74 Посмотреть сообщение
    посоветуйте антивирус, мой ничего не видит
    Для начала:
    Установите новый Internet Explorer, а также все доступные обновления для Windows

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    17
    Вес репутации
    47
    всё сделал, вот только я пользуюсь не IE, а оперой)

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Deidara74 Посмотреть сообщение
    я пользуюсь не IE
    Им пользуются системные программы...

  14. Это понравилось:


  15. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\андрей\\appdata\\roaming\\microsoft\\wi ndows\\start menu\\programs\\startup\\its6y3tqstm.exe - Trojan.Win32.Jorik.Carberp.amw ( DrWEB: Trojan.Carberp.276, BitDefender: Trojan.Generic.KDV.622955, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:Carberp-ADI [Trj] )


  • Уважаемый(ая) Deidara74, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 08.10.2010, 10:16
    2. Странные процессы
      От nikatka в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.07.2010, 07:24
    3. Ответов: 2
      Последнее сообщение: 18.08.2009, 15:56
    4. Странные процессы у ПК
      От XXXL в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 04:00
    5. Странные процессы
      От Kenkedje в разделе Windows для опытных пользователей
      Ответов: 5
      Последнее сообщение: 30.06.2008, 22:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00932 seconds with 20 queries