-
Junior Member (OID)
- Вес репутации
- 42
Подозрительный процесс igrwre.exe
В диспетчере задач очень подозрительный процесс - Igrwre.exe . Он жрёт 100% процессорного времени и занимает от 140000Кб, процесс легко убивается через диспетчер, но после перезапуска появляется, ни в реестре ни в автозапуске его нет. При попытке прочитать (клавиши F3-View) процесс с помощью Far-менеджера столкнулся с тем что клавиша не срабатывает и прочитать его не удалось. В диспетчере AVZ в описании процесса - "Loki". Найти файл в указанном месте неудалось (файл повидимому не скрыт, а замаскирован), в самых распостранённых для вирусов местах (папки /windows/ и /system32/) его тоже нет. Системник мне принесли знакомые "посмотреть", а мои знания в компьютерной теметике очень ограничены. Буду очень признателен если удовлетворите мою любознательность и опишите методы обнаружения подобных файлов. Файлы согласно правилам прикрепляю. hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Николай Большаков, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Николай Большаков, Здравствуйте!
У вас файловое заражение.
Сначала лечимся так
После лечения делаем новые логи!
-
-
Junior Member (OID)
- Вес репутации
- 42
Провозился с компьютером два дня, DrWeb больше ничего не ловит, вылечено было более 2000 файлов, удалено тоже много, больше антивирус ничего не поймал, проверял 2 раза всё чисто.
Вот новые логи - virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\wahyjbk.dll','');
DeleteFile('C:\WINDOWS\system32\wahyjbk.dll');
QuarantineFile('C:\Documents and Settings\User\Application Data\Igrwre.exe','');
DeleteService('NdisFileServices32');
DeleteFile('C:\WINDOWS\system32\drivers\lokqhn.sys');
DeleteFile('C:\Documents and Settings\User\Application Data\Igrwre.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Igrwre');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите правильную дату - у Вас уже октябрь месяц
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 42
Всё содержимое карантина загрузил: Файл сохранён как 130113_095552_virus_50f284a893bf9.zip; Размер файла 1196; MD5 d6e1cdb6f2338dae0a46c497c511fdc8.
Логи прикрепляю - hijackthis.log; virusinfo_syscheck.zip; virusinfo_syscure.zip.
Дату исправил
-
Выполните скрипт в AVZ
Код:
begin
ExecuteREpair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Больше плохого не видно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-