Показано с 1 по 14 из 14.

Подозрительные процессы в диспетчере задач, проблемы с Интернетом [Trojan.Win32.Inject.ejdr, Backdoor.Win32.Azbreg.bww ] (заявка № 122847)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16

    Подозрительные процессы в диспетчере задач, проблемы с Интернетом [Trojan.Win32.Inject.ejdr, Backdoor.Win32.Azbreg.bww ]

    Доброго времени суток! У меня несколько проблем, очень надеюсь, что Вы поможете.

    Во-первых, у меня периодически стал пропадать Интернет. То есть, после перезагрузки компьютера он работает некоторое время, затем отключается без сообщения об ошибке. Затем оформление панели задач и окон меняется на классический стиль, хотя у меня стоит другой.

    Во-вторых, я заметила подозрительные процессы в диспетчере задач: yadrive32.exe, drwtsn32.exe и др. Если их завершить, то при перезагрузке они запускаются опять. Также выскакивает сообщение об ошибке:
    16-разрядная подсистема MS-DOS
    C:/DOCUME~1/Admin/APPLIC~1/1A5.exe
    Процессор NTVDM обнаружил недопустимую инструкцию.
    CS:06e2 IP:0234 OP:63 73 73 22 3e Для завершения работы приложения нажмите кнопку "Закрыть".

    В-третьих, если подключить флешку, на ней появляются скрытые папки и файлы, которые не удаляются.
    И ещё, иногда не заходит на некоторые сайты, например: Wikipedia, Google, Youtube, Adobe, Facebook. Просто пишет, что не удаётся найти удалённый сервер.

    Вроде бы всё, прикрепляю логи. Надеюсь на помощь!

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,265
    Вес репутации
    327
    Уважаемый(ая) Tpycuxa, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\86.exe','');
     QuarantineFile('C:\WINDOWS\system32\82.exe','');
     QuarantineFile('C:\WINDOWS\system32\75.exe','');
     QuarantineFile('C:\WINDOWS\system32\71.exe','');
     QuarantineFile('C:\WINDOWS\system32\56.exe','');
     QuarantineFile('C:\WINDOWS\system32\54.exe','');
     QuarantineFile('C:\WINDOWS\system32\43.exe','');
     QuarantineFile('C:\WINDOWS\system32\30.exe','');
     QuarantineFile('C:\WINDOWS\system32\27.exe','');
     QuarantineFile('C:\WINDOWS\system32\26.exe','');
     QuarantineFile('C:\WINDOWS\system32\06.exe','');
     QuarantineFile('C:\WINDOWS\system32\04.exe','');
     QuarantineFile('C:\WINDOWS\system32\03.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sp_rsdrv2.sys','');
     QuarantineFile('C:\WINDOWS\yadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Wrhmhi.scr','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Wrhmhi.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wrhmhi');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tbrena');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     DeleteFile('C:\WINDOWS\yadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\03.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\06.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\30.exe');
     DeleteFile('C:\WINDOWS\system32\43.exe');
     DeleteFile('C:\WINDOWS\system32\54.exe');
     DeleteFile('C:\WINDOWS\system32\56.exe');
     DeleteFile('C:\WINDOWS\system32\71.exe');
     DeleteFile('C:\WINDOWS\system32\75.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     DeleteFile('C:\WINDOWS\system32\86.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

    + такой отчёт: http://virusinfo.info/showthread.php?t=115256

  5. Никита Соловьев получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16
    Файл сохранён как 120725_191625_quarantine_50104609948a4.zip
    Размер файла 468855
    MD5 101197a436817dbf8dabc97dc362c473

    Сейчас буду делать логи.

    - - - Добавлено - - -

    Вот логи:

  7. #5
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16
    Отчёт:

  8. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    1. Скачайте файл script.txt из вложения ниже;

    2. Откройте AVZ и щёлкните файл -> выполнить скрипт;

    3. Нажмите кнопку "загрузить" и выберите полученный файл script.txt;

    4. Нажмите кнопку "запустить"


    Компьютер перезагрузится.

    Файл quarantine_2.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Сделайте отчёт программы RSIT заново.

  9. Никита Соловьев получил(а) благодарность за это сообщение от


  10. #7
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16
    Файл сохранён как 120726_163140_quarantine_2_501170ec9b1b1.zip
    Размер файла 121541
    MD5 d3cab58caae64ee25e364c31cba0932a

    Отчёт:

  11. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Установите SP3 + все последующие обновления.

    Проблема решена?

  12. #9
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16
    Да, спасибо большущее! Отличный сайт. Теперь всё работает нормально.
    А SP3 - это Service Pack 3, я так понимаю? Не подскажете, как это устанавливать?

  13. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,606
    Вес репутации
    111

  14. Дeнис получил(а) благодарность за это сообщение от


  15. #11
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16
    Спасибо, так и сделаю.

    - - - Добавлено - - -

    А что означает: "Не нажимайте кнопку «ЗАГРУЗИТЬ», если требуется выполнить обновление только на одном компьютере" в ссылке на SP3?

  16. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Вам проще включить автоматическое обновление и Windows разберётся, что необходимо обновить.

  17. #13
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    16
    Ладно, ещё раз благодарю.

  18. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,561
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\wrhmhi.scr - Trojan.Win32.Bublik.dpu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.677160 )
      2. c:\\documents and settings\\admin\\application data\\1b8.exe.gonewiththewings - Trojan.Win32.Inject.ejdr ( DrWEB: Trojan.Necurs.21, BitDefender: Gen:Variant.Graftor.37297 )
      3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-14699\\brenasa.exe - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 )
      5. c:\\windows\\system32\\03.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      6. c:\\windows\\system32\\04.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      7. c:\\windows\\system32\\06.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      8. c:\\windows\\system32\\26.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      9. c:\\windows\\system32\\27.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      10. c:\\windows\\system32\\30.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      11. c:\\windows\\system32\\43.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      12. c:\\windows\\system32\\48.exe - Backdoor.Win32.Azbreg.bww ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Graftor.37297 )
      13. c:\\windows\\system32\\54.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      14. c:\\windows\\system32\\56.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      15. c:\\windows\\system32\\68.exe - Backdoor.Win32.Azbreg.bww ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Graftor.37297 )
      16. c:\\windows\\system32\\71.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      17. c:\\windows\\system32\\75.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      18. c:\\windows\\system32\\82.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      19. c:\\windows\\system32\\86.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      20. c:\\windows\\yadrive32.exe - Net-Worm.Win32.Kolab.bitz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.82169 )


  • Уважаемый(ая) Tpycuxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 15
      Последнее сообщение: 24.03.2011, 07:05
    2. Ответов: 3
      Последнее сообщение: 18.03.2011, 07:52
    3. Ответов: 1
      Последнее сообщение: 16.03.2011, 15:25
    4. В диспетчере задач какие то подозрительные процессы (заявка №42018)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 30.01.2011, 09:00
    5. Ответов: 31
      Последнее сообщение: 10.09.2010, 21:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00790 seconds with 22 queries