Показано с 1 по 12 из 12.

Создается бесконечное кол-во процессов [Backdoor.Win32.Androm.fcjy, Trojan-Proxy.Win32.Lethic.cdw ] (заявка № 167928)

  1. #1
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40

    Создается бесконечное кол-во процессов [Backdoor.Win32.Androm.fcjy, Trojan-Proxy.Win32.Lethic.cdw ]

    Добрый день!
    После включения компьютера сразу создается много процессов с именем mslul.exe и процессов с различным сочетанием букв и цифр, которые начинают грузить систему.
    Антивирус находится несколько вредоносных объектов, удаляет их, но проблема остается.
    Вирус активно действует при загрузке с доменной учетной записи и начинает грузить систему. Под учеткой локального админа появляется только несколько левых процессов в диспетчере задач.

    Лог AVZ загружал на сайт для проверки

    MD5 Карантина - 7C054E4CADB36CD28C67782D438B76D4

    Вот логи AVZ и HiJack. Сделаны были под учетной записью локального админа, т.к. при работе под доменной учеткой вирус начинает сильно грузить систему и не получается выполнить скрипты в AVZ

    hijackthis.log
    virusinfo_syscheck.zip
    virusinfo_syscure.zip
    Последний раз редактировалось SugaRock; 07.10.2014 в 04:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) SugaRock, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    А возможно ли необходимые процедуры сделать в безопасном режиме?
    А то в обычном вирус начинает грузить систему и не дает завершить проверку.

    - - - - -Добавлено - - - - -

    Логи прикрепил, дополнил тему.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe','');
     QuarantineFile('C:\PROGRA~2\mslul.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe', '32');
     DeleteFile('C:\PROGRA~2\mslul.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','23456g7dq8');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23456g7dq8','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  7. #6
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Скрипты выполнил, карантин загрузил.
    Вот логи.

    virusinfo_syscheck.zip

    hijackthis.log

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    D:\DISTR\1\game.exe
    это что?

    Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM[/URL].

  9. #8
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от regist Посмотреть сообщение
    D:\DISTR\1\game.exe
    это что?
    не ответили.

    Удалите в MBAM всё кроме
    Код:
    D:\DISTR\Windows Loader\Windows Loader.exe (Hacktool.Agent) -> No action taken.
    D:\DISTR\WinRar.3.71.Final.rus+KeyGen\WinRar.3.71.Final.rus+KeyGen\keygen.exe (Malware.Packer.Gen) -> No action taken.
    сделайте свежий лог MBAM

    меняйте все пароли, по окончанию лечения смените ещё раз.

  11. #10
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Game.exe - это HiJackThis.

  12. #11

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\progra~2\mslul.exe - Backdoor.Win32.Androm.fcjy ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1905806, AVAST4: Win32:Injector-CBW [Trj] )
      2. c:\recycler\s-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe - Trojan-Proxy.Win32.Lethic.cdw ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1905730, AVAST4: Win32:Injector-CBW [Trj] )


  • Уважаемый(ая) SugaRock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 31.01.2011, 15:00
    2. бесконечная перезагрузка
      От gnatya в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 06.11.2010, 00:49
    3. Бесконечная перезагрузка компьтера
      От tools в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 01.03.2010, 21:00
    4. Бесконечная история
      От Гриша в разделе Новости компьютерной безопасности
      Ответов: 15
      Последнее сообщение: 10.04.2009, 21:47
    5. Папка [...] и так до бесконечности
      От Micke в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 08.02.2009, 01:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00232 seconds with 20 queries