Показано с 1 по 16 из 16.

Блокировка Аваста и выскакивающее окошко iexplorer.exe [Trojan-Spy.Win32.SpyEyes.aqyn, Trojan.Win32.Yakes.fxpn ] (заявка № 166359)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35

    Thumbs up Блокировка Аваста и выскакивающее окошко iexplorer.exe [Trojan-Spy.Win32.SpyEyes.aqyn, Trojan.Win32.Yakes.fxpn ]

    Здравствуйте!

    Принесли мне ноут, старенький, с WindowsXP и кучей проблем и вирусов. Поковырявшись, решил очистить ноут от вирусов с помощью CureIt b восстановить систему с дистрибутива, что и сделал.
    На данный момент обстановка на ноуте такая:
    Снова в безопасном режиме сделал полную зачистку с помощью CureIt (более 10 вирусов обезврежено).
    Бывший установленный Avast не включается, блокируется.
    Блокируется выход на сайт Avast с любого браузера. На другие сайты зайти могу.
    Блокируется установку (догрузку) антивируса Avast.
    Каждые пол минуты на доли секунды появляется окошко с текстом (успел заскриншотить): "iexplore.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."

    Буду очень благодарен за помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) ermolay_s, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files\Common Files\CreativeAudio\eivmuxhgk.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Update\MSupdate.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Identities\sjbma\sjbma.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\msudrwkb.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\msnxf.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\xkim6.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\xkim6.exe','');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\mz758.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\mz758.exe','');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\lqtsb.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\lqtsb.exe','');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\lqtsb.exe','32');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\mz758.exe','32');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\xkim6.exe','32');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\msnxf.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\msudrwkb.exe','32');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Identities\sjbma\sjbma.exe','32');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Update\MSupdate.exe','32');
     DeleteFile('C:\Program Files\Common Files\CreativeAudio\eivmuxhgk.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','3368530294');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4176838991');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35
    Карантин выслал.
    сделать логи MBAM не представляется возможным, блокируется установка программы. Кроме того блокируется работа всех браузеров, пишу с другого ноута. Логи AVZ и HiJack создал, только, пардон за тупость, не могу понять как их прикрепить к сообщению, не вижу значок вложения

    разобрался, прикрепил

    - - - - -Добавлено - - - - -

    вероятно оно не нужно, но на всякий случай инфа по карантину:

    Файл сохранён как 140910_165801_virus_541083190b461.zip
    Размер файла 1046134
    MD5 c63a338029de961ce2b18df553e2f938
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35
    окошко iexlourer.exe теперь не закрывается, их собирается немало... К тому же появились такие-же pev.3XE, IPCONFIG.exe. Мозилка, оказывается, жива (хром и опера почили, как писал ранее).

    Прикладываю ComboFix.txt

    - - - - -Добавлено - - - - -

    pev.3XE, IPCONFIG.exe с тем же текстом: "обнаружена ошибка..."
    Вложения Вложения

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteREpair(9); 
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
    Код:
    KillAll::
    
    File::
    c:\program files\Common Files\CreativeAudio\tjiujsnjb.exe
    c:\docume~1\ALLUSE~1\msudrwkb.exe
    c:\documents and settings\Администратор\Application Data\Identities\Kbloly.exe
    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
    C:\Documents and Settings\Администратор\Application Data\Update\MSupdate.exe
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13124081\b824439.exe
    c:\docume~1\9335~1\locals~1\temp\waaup.exe
    
    Driver::
    
    Folder::
    
    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CreativeAudio"=-
    "Kbloly"=-
    "a62399"=-
    "a682399"=-
    "Adobe System Incorporated"=-
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CreativeAudio"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "3368530294"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Сделайте новый лог AVZ

    Попробуйте сделать лог МВАМ (отметьте для сканирования только диск С)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35
    MBAM заработала. Лог в файле mbam.txt. А Мозилка тоже крякнула как и остальные браузеры. Окошки, вроде, не выскакивают. При завершении работы ComboFix пропал рабочий стол, остался только фоновый рисунок. Рабочий стол через горячие клавиши -> диспетчер задач -> эксплорер.экзе вызывается.

    - - - - -Добавлено - - - - -

    Да, еще, при копировании на флешку комп файл прячет, создает ярлык, и вставляет еще файлы с нечитаемыми именами...
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Program Files\Common Files\CreativeAudio\rqmynangs.exe','');
     QuarantineFile('c:\documents and settings\Администратор\Application Data\Identities\Kbloly.exe','');
     DeleteFile('c:\documents and settings\Администратор\Application Data\Identities\Kbloly.exe','32');     
     DeleteFile('C:\Program Files\Common Files\CreativeAudio\rqmynangs.exe','32');
     RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Run','Kbloly');   
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');  
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    В MBAM поместите в карантин все найденное.

    Сделайте новые логи.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35
    Здравствуйте!
    Сделал и отправил карантин, но он почему-то так и называется - карантин:

    Файл сохранён как 140911_082232_quarantine_54115bc814856.zip
    Размер файла 886989
    MD5 77daca09254ec8c2b7db8fad023f6f2c

    Сдуру запустил MBAM через Пуск, запуск не пошел. Деинсталлировал MBAM, установил заново, запустил, он обнаружил 13 объектов. Сделал лог (mbam2.txt). Сделал лог ComboFix, потом avz.

    Браузеры работают, окошко iexplorer появилось только один раз, файлы на флешке не в скрытом виде, и не создаются их ярлыки. Все хорошо (или почти хорошо =)), вот только Аваст так и не запускается. Устанавливается, а запуск не происходит.
    Текс сообщения:
    C:\Program Files\AVAST Software\Avast\AvastUI.exe
    Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения....

    В диспетчере задач висит процесс AvastSvc.exe, завершить его невозможно - отказано в доступе

    - - - - -Добавлено - - - - -

    Ах, да, после обнаружения 13 объектов MBAM и создания лога - поместил в карантин, прошелся еще раз - все было чисто...
    Вложения Вложения

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:
    Код:
     >>  Разрешен автозапуск с HDD
     >>  Разрешен автозапуск с сетевых дисков
     >>  Разрешен автозапуск со сменных носителей
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



    Скачайте OTCleanIt, запустите, нажмите Clean up

    Аваст попробуйте переустановить.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35
    Все сделал по Вашим указаниям. Все в норме. Огромное спасибо за помощь!
    Аваст так и не установился, не понимаю почему, да и бог с ним. Пущай хозяйка ноута Каспера покупает, или доктора Веба =)

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    MBAM деинсталлируйте.

    Смените пароли от почты, социальных сетей и других ресурсов.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    10.09.2014
    Сообщений
    15
    Вес репутации
    35
    Большое спасибо, так и сделаю, когда встречу этот ноут. Его у меня уже забрали, сентябрь наступил =). Закладку сохранил..

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Тему тогда отмечаю решенной.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  23. Это понравилось:


  24. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\application data\identities\kbloly.exe - Trojan.Win32.Yakes.fxpn ( BitDefender: Trojan.GenericKD.1849019 )
      2. c:\documents and settings\администратор\application data\update\msupdate.exe - Trojan-Proxy.Win32.Lethic.bxv ( BitDefender: Trojan.GenericKD.1850516, AVAST4: Win32:Dropper-gen [Drp] )
      3. c:\docume~1\alluse~1\msudrwkb.exe - Backdoor.Win32.Androm.ever ( BitDefender: Gen:Variant.Graftor.154925 )
      4. c:\docume~1\9335~1\locals~1\temp\adobe\reader_sl.e xe - Worm.Win32.Ngrbot.ahhp ( BitDefender: Gen:Variant.Graftor.154925, AVAST4: Win32:Malware-gen )
      5. c:\program files\common files\creativeaudio\eivmuxhgk.exe - Trojan-Spy.Win32.SpyEyes.aqyn ( BitDefender: Gen:Variant.Graftor.154925 )
      6. c:\program files\common files\creativeaudio\rqmynangs.exe - Trojan-Spy.Win32.SpyEyes.aqyn ( BitDefender: Gen:Variant.Graftor.154925 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  25. Это понравилось:


  • Уважаемый(ая) ermolay_s, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 29.07.2014, 23:09
    2. Ответов: 13
      Последнее сообщение: 18.05.2013, 21:14
    3. Ответов: 6
      Последнее сообщение: 28.02.2013, 13:10
    4. Ответов: 7
      Последнее сообщение: 28.02.2013, 09:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01330 seconds with 20 queries