Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Система работает нестабильно [Trojan-Proxy.Win32.Lethic.bpz ] (заявка № 155462)

  1. #1
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41

    Система работает нестабильно [Trojan-Proxy.Win32.Lethic.bpz ]

    При перезапуске Windows открываются сообщения с вирусами (DrWeb), сканер что-то удаляет, но при следующем запуске - то же, но другие имена вирусов. Ряд программ не запускается.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) DrWlad, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\recycler\mscinet.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Identities\ujyje\ujyje.exe','');
     QuarantineFile('C:\ProgramData\CreativeAudio\dtdasndku.exe','');
     QuarantineFile('c:\progra~2\mslquhmz.exe','');
     DeleteFile('c:\progra~2\mslquhmz.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','37059');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Identities\ujyje\ujyje.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
     DeleteFile('C:\recycler\mscinet.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExxecuteRepair(9);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Карантин выслал. Кстати, в скрипте была ошибка: ExxecuteRepair(9) ->ExecuteRepair(9)
    Новые логи высылать сейчас? Или подождать?

    - - - Добавлено - - -

    Высылаю новые логи AVZ и HJ. Сканирование MBAM еще делается. По завершении прикреплю и его.
    P.S. После отработки скрипта практически все осталось по-прежнему.
    P.P.S. Прикрепил лог MBAM
    Последний раз редактировалось DrWlad; 21.02.2014 в 22:05.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
    QuarantineFile('C:\RECYCLER\mscinet.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msxirbt.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\CreativeAudio\rpeulaaql.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msacgxdt.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msametq.exe', 'MBAM: Backdoor.Andromeda');
    QuarantineFile('C:\ProgramData\msgtwpomp.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\mshadiu.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msiztj.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msoagi.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\ProgramData\msouwtir.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msrrhqqi.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msxapqm.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msxexr.exe', 'MBAM: Trojan.Zbot');
    QuarantineFile('C:\ProgramData\msxjwj.exe', 'MBAM: Backdoor.Andromeda');
    QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8E8T1DBK\api1[1].gif', 'MBAM: Extension.Mismatch');
    QuarantineFile('C:\Users\Администратор\AppData\Roaming\B9F8.exe', 'MBAM: Trojan.Inject.ED');
    QuarantineFile('C:\Users\Администратор\AppData\Roaming\D027.exe', 'MBAM: Trojan.Zbot');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ все, кроме
    Код:
    C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\block_reader.sys (Riskware.MPR) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\HookLib.dll (Spyware.Password.HL) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\MPR.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\MPR\UpdateChecker.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\WinHex\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    D:\Install\WinKey\KEYFINDER 1.53.EXE (PUP.OficeKey) -> Действие не было предпринято.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Карантин отправил. После выполнения скрипта, удаления в МВАМ всего и перезагрузки все файлы и ветки реестра, ранее присутствовавшие в логах удалились. Но сразу после перезапуска в каталоге ...\AppData\Roaming\ перехватчик Drweb удаляет файл типа Yxxx.exe, (Y - буква, xxx - три цифры). Откуда он берется, неясно. Боюсь, после пары перезапусков все станет как раньше.
    Спасибо. До завтра.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Отправил лог ComboFix

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) Сделайте полный образ автозапуска uVS только программу скачайте отсюда


    2) Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    
    
    Driver::
    
    Folder::
    
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    "Debugger"=-
    
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    3) Запакуйте в архив с паролем "virus" папку C:\Qoobox\Quarantine\ - C:\ - Ваш системный диск
    Полученный архив загрузите по ссылке Прислать запрошенный карантин вверху темы.

  11. #10
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    1. Образ uVS сделал: во вложении.
    2. Запуск ComboFix.exe со скриптом CFScript.txt состоялся, но завис посредине. В карантин ничего не легло. Сейчас запустил снова. Жду.

    - - - Добавлено - - -

    Отправил карантин ComboFix-а с паролем "virus" и его отчет во вложении.
    Явных проявлений вирусов уже нет. Но:
    1. Так и не удалился ключ реестра [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    "Debugger"=odoa.exe
    2. И там же неудаляемая ветка реестра
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    с пустым ключем
    "DisableExceptionChainValidation".
    3. Не работает Windows Update, хотя это могут быть последствия от прошлой деятельности вирусов.
    Последний раз редактировалось DrWlad; 23.02.2014 в 19:45.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) Выполните скрипт в uVS

    Код:
    ;uVS v3.82 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    BREG
    delall ODOA.EXE
    delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\JFOQKOTIU.EXE
    delref %Sys32%\XYO.DLL
    delref %SystemDrive%\LOGONSCREENROTATOR\LOGONSCREENROTATOR.EXE
    restart

    2)
    Цитата Сообщение от DrWlad Посмотреть сообщение
    И там же неудаляемая ветка реестра
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    удалите вручную через regedit.
    Заодно проверьте если "Debugger"=odoa.exe остался его тоже удалите.

  13. #12
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Скрипт отработал, лог во вложении. odoa.exe остался.
    удалите вручную через regedit
    Если бы я эти ключи мог удалить или отредактировать, то давно бы это сделал. Я же пишу: они недоступны для удаления/редактирования, не позволяют сменить владельца, вообще ничего не позволяют с собой делать, хотя работаю из-под учетки администратора.
    Если бы это было на моем компьютере, я бы загрузился с LiveCD и отредактировал эти ветки. Но я пытаюсь очистить от вирусов систему по TeamViewer в другом городе на компе у своей сестры. Так что в возможностях весьма ограничен (поэтому и задержки в исполнении Ваших указаний).

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    
    
    Driver::
    
    Folder::
    
    RegLockDel::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    
    Registry::
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  15. #14
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Скрипт не сработал, т. е. ветки на месте. Лог во вложении.
    Последний раз редактировалось DrWlad; 24.02.2014 в 18:27.

  16. #15

  17. #16
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Лог Gmer

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Скопируйте нижеприведенный текст в Блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
    Код:
    ui3ufj6m.exe -del reg "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe"
    ui3ufj6m.exe -del reg "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe"
    ui3ufj6m.exe -reboot
    Запустите cleanup.bat

    ВНИМАНИЕ:После выполнения скрипта, компьютер перезагрузится!!!

    проверьте ключи остались? Если остались попробуем другим способом.

  19. #18
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Ветки остались, а в момент срабатывания скрипта были такие сообщения:

  20. #19

  21. #20
    Junior Member Репутация
    Регистрация
    31.01.2013
    Сообщений
    34
    Вес репутации
    41
    Обе ветки
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    остались на месте. Но исчез ключ
    "Debugger"=odoa.exe
    Лог:

  • Уважаемый(ая) DrWlad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. система XP нестабильно работает
      От magstorm в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.03.2012, 09:42
    2. Нестабильно работает интернет
      От skz в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.08.2011, 11:19
    3. Нестабильно работает ОС
      От styygma в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.03.2011, 18:53
    4. Система работает нестабильно
      От Ветеран рунета в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.03.2009, 23:33
    5. Система запускается нестабильно
      От Natik91 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.05.2008, 16:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00553 seconds with 17 queries