Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Система работает нестабильно [Trojan-Proxy.Win32.Lethic.bpz ] (заявка № 155462)

  1. #1
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15

    Система работает нестабильно [Trojan-Proxy.Win32.Lethic.bpz ]

    При перезапуске Windows открываются сообщения с вирусами (DrWeb), сканер что-то удаляет, но при следующем запуске - то же, но другие имена вирусов. Ряд программ не запускается.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) DrWlad, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\recycler\mscinet.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Identities\ujyje\ujyje.exe','');
     QuarantineFile('C:\ProgramData\CreativeAudio\dtdasndku.exe','');
     QuarantineFile('c:\progra~2\mslquhmz.exe','');
     DeleteFile('c:\progra~2\mslquhmz.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','37059');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Identities\ujyje\ujyje.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
     DeleteFile('C:\recycler\mscinet.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExxecuteRepair(9);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Карантин выслал. Кстати, в скрипте была ошибка: ExxecuteRepair(9) ->ExecuteRepair(9)
    Новые логи высылать сейчас? Или подождать?

    - - - Добавлено - - -

    Высылаю новые логи AVZ и HJ. Сканирование MBAM еще делается. По завершении прикреплю и его.
    P.S. После отработки скрипта практически все осталось по-прежнему.
    P.P.S. Прикрепил лог MBAM
    Последний раз редактировалось DrWlad; 21.02.2014 в 22:05.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
    QuarantineFile('C:\RECYCLER\mscinet.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msxirbt.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\CreativeAudio\rpeulaaql.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msacgxdt.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msametq.exe', 'MBAM: Backdoor.Andromeda');
    QuarantineFile('C:\ProgramData\msgtwpomp.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\mshadiu.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msiztj.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msoagi.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msouwtir.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msrrhqqi.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msxapqm.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msxexr.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msxjwj.exe', 'MBAM: Backdoor.Andromeda');
    QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8E8T1DBK\api1[1].gif', 'MBAM: Extension.Mismatch');
    QuarantineFile('C:\Users\Администратор\AppData\Roaming\B9F8.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\Users\Администратор\AppData\Roaming\D027.exe', 'MBAM: Trojan.Zbot');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ все, кроме
    Код:
    C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\block_reader.sys (Riskware.MPR) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\HookLib.dll (Spyware.Password.HL) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\MPR.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\UpdateChecker.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\WinHex\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    D:\Install\WinKey\KEYFINDER 1.53.EXE (PUP.OficeKey) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Карантин отправил. После выполнения скрипта, удаления в МВАМ всего и перезагрузки все файлы и ветки реестра, ранее присутствовавшие в логах удалились. Но сразу после перезапуска в каталоге ...\AppData\Roaming\ перехватчик Drweb удаляет файл типа Yxxx.exe, (Y - буква, xxx - три цифры). Откуда он берется, неясно. Боюсь, после пары перезапусков все станет как раньше.
    Спасибо. До завтра.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Отправил лог ComboFix

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    1) Сделайте полный образ автозапуска uVS только программу скачайте отсюда


    2) Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    
    
    Driver::
    
    Folder::
    
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    "Debugger"=-
    
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    3) Запакуйте в архив с паролем "virus" папку C:\Qoobox\Quarantine\ - C:\ - Ваш системный диск
    Полученный архив загрузите по ссылке Прислать запрошенный карантин вверху темы.

  11. #10
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    1. Образ uVS сделал: во вложении.
    2. Запуск ComboFix.exe со скриптом CFScript.txt состоялся, но завис посредине. В карантин ничего не легло. Сейчас запустил снова. Жду.

    - - - Добавлено - - -

    Отправил карантин ComboFix-а с паролем "virus" и его отчет во вложении.
    Явных проявлений вирусов уже нет. Но:
    1. Так и не удалился ключ реестра [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    "Debugger"=odoa.exe
    2. И там же неудаляемая ветка реестра
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    с пустым ключем
    "DisableExceptionChainValidation".
    3. Не работает Windows Update, хотя это могут быть последствия от прошлой деятельности вирусов.
    Последний раз редактировалось DrWlad; 23.02.2014 в 19:45.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    1) Выполните скрипт в uVS

    Код:
    ;uVS v3.82 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    BREG
    delall ODOA.EXE
    delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\JFOQKOTIU.EXE
    delref %Sys32%\XYO.DLL
    delref %SystemDrive%\LOGONSCREENROTATOR\LOGONSCREENROTATOR.EXE
    restart

    2)
    Цитата Сообщение от DrWlad Посмотреть сообщение
    И там же неудаляемая ветка реестра
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    удалите вручную через regedit.
    Заодно проверьте если "Debugger"=odoa.exe остался его тоже удалите.

  13. #12
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Скрипт отработал, лог во вложении. odoa.exe остался.
    удалите вручную через regedit
    Если бы я эти ключи мог удалить или отредактировать, то давно бы это сделал. Я же пишу: они недоступны для удаления/редактирования, не позволяют сменить владельца, вообще ничего не позволяют с собой делать, хотя работаю из-под учетки администратора.
    Если бы это было на моем компьютере, я бы загрузился с LiveCD и отредактировал эти ветки. Но я пытаюсь очистить от вирусов систему по TeamViewer в другом городе на компе у своей сестры. Так что в возможностях весьма ограничен (поэтому и задержки в исполнении Ваших указаний).

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    
    
    Driver::
    
    Folder::
    
    RegLockDel::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    
    Registry::
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  15. #14
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Скрипт не сработал, т. е. ветки на месте. Лог во вложении.
    Последний раз редактировалось DrWlad; 24.02.2014 в 18:27.

  16. #15

  17. #16
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Лог Gmer

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Скопируйте нижеприведенный текст в Блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
    Код:
    ui3ufj6m.exe -del reg "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe"
    ui3ufj6m.exe -del reg "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe"
    ui3ufj6m.exe -reboot
    Запустите cleanup.bat

    ВНИМАНИЕ:После выполнения скрипта, компьютер перезагрузится!!!

    проверьте ключи остались? Если остались попробуем другим способом.

  19. #18
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Ветки остались, а в момент срабатывания скрипта были такие сообщения:

  20. #19

  21. #20
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    15
    Обе ветки
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    остались на месте. Но исчез ключ
    "Debugger"=odoa.exe
    Лог:

  • Уважаемый(ая) DrWlad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. система XP нестабильно работает
      От magstorm в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.03.2012, 09:42
    2. Нестабильно работает интернет
      От skz в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.08.2011, 11:19
    3. Нестабильно работает ОС
      От styygma в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.03.2011, 18:53
    4. Система работает нестабильно
      От Ветеран рунета в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.03.2009, 23:33
    5. Система запускается нестабильно
      От Natik91 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.05.2008, 16:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00470 seconds with 21 queries