-
Junior Member
- Вес репутации
- 40
Создается бесконечное кол-во процессов [Backdoor.Win32.Androm.fcjy, Trojan-Proxy.Win32.Lethic.cdw
]
Добрый день!
После включения компьютера сразу создается много процессов с именем mslul.exe и процессов с различным сочетанием букв и цифр, которые начинают грузить систему.
Антивирус находится несколько вредоносных объектов, удаляет их, но проблема остается.
Вирус активно действует при загрузке с доменной учетной записи и начинает грузить систему. Под учеткой локального админа появляется только несколько левых процессов в диспетчере задач.
Лог AVZ загружал на сайт для проверки
MD5 Карантина - 7C054E4CADB36CD28C67782D438B76D4
Вот логи AVZ и HiJack. Сделаны были под учетной записью локального админа, т.к. при работе под доменной учеткой вирус начинает сильно грузить систему и не получается выполнить скрипты в AVZ
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Последний раз редактировалось SugaRock; 07.10.2014 в 04:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) SugaRock, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
А возможно ли необходимые процедуры сделать в безопасном режиме?
А то в обычном вирус начинает грузить систему и не дает завершить проверку.
- - - - -Добавлено - - - - -
Логи прикрепил, дополнил тему.
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe','');
QuarantineFile('C:\PROGRA~2\mslul.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe', '32');
DeleteFile('C:\PROGRA~2\mslul.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','23456g7dq8');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23456g7dq8','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 40
Скрипты выполнил, карантин загрузил.
Вот логи.
virusinfo_syscheck.zip
hijackthis.log
-
это что?
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM[/URL].
-
-
Junior Member
- Вес репутации
- 40
-
Сообщение от
regist
D:\DISTR\1\game.exe
это что?
не ответили.
Удалите в MBAM всё кроме
Код:
D:\DISTR\Windows Loader\Windows Loader.exe (Hacktool.Agent) -> No action taken.
D:\DISTR\WinRar.3.71.Final.rus+KeyGen\WinRar.3.71.Final.rus+KeyGen\keygen.exe (Malware.Packer.Gen) -> No action taken.
сделайте свежий лог MBAM
меняйте все пароли, по окончанию лечения смените ещё раз.
-
-
Junior Member
- Вес репутации
- 40
Game.exe - это HiJackThis.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~2\mslul.exe - Backdoor.Win32.Androm.fcjy ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1905806, AVAST4: Win32:Injector-CBW [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe - Trojan-Proxy.Win32.Lethic.cdw ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1905730, AVAST4: Win32:Injector-CBW [Trj] )
-