Показано с 1 по 14 из 14.

не удаляемые .ехе файлы вклиниваются в процессы (заявка № 24633)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31

    Question не удаляемые .ехе файлы вклиниваются в процессы

    2ой компьютер тоже с проблемами к сожалению приняв файл по мессенджеру я не знал что это вирус да и антивир ничего не сказал - в итоге тормозящий пк+ пк сестры который благодаря этому форуму излечен. Эти файлы после удаления опять появляются - тормозит интернет на многие сайты перестало заходить, експлорер.ехе начал часто шалить =/
    Т.к. он даже не хочет открывать мне скрепку чтобы залить файл я заливаю логи сюда : http://www.speedyshare.com/314544376.html
    Последний раз редактировалось Viktor123; 15.06.2008 в 18:21.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
     QuarantineFile('wplayer.exe','');
     QuarantineFile('suite.exe','');
     QuarantineFile('security.exe','');
     QuarantineFile('pro\wl_hook.dll','');
     QuarantineFile('wl_hook.dll','');
     QuarantineFile('C:\WINDOWS\mobilesync.exe','');
     QuarantineFile('C:\WINDOWS\system32\Filt\VBFilt.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\VBEngNT.sys','');
     QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll','');
     QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\yaighhnh.dll','');
     QuarantineFile('C:\WINDOWS\system32\xgbojudj.dll','');
     QuarantineFile('C:\WINDOWS\system32\geBuTliG.dll','');
     QuarantineFile('C:\WINDOWS\system32\efcBQifF.dll','');
     QuarantineFile('c:\windows\winudpmr.exe','');
     QuarantineFile('c:\windows\winudmr.exe','');
     QuarantineFile('c:\windows\system32\telecms.exe','');
     QuarantineFile('c:\windows\system32\svho.exe','');
     DeleteFile('c:\windows\system32\svho.exe');
     DeleteFile('c:\windows\system32\telecms.exe');
     DeleteFile('c:\windows\winudmr.exe');
     DeleteFile('c:\windows\winudpmr.exe');
     DeleteFile('C:\WINDOWS\system32\efcBQifF.dll');
     DeleteFile('C:\WINDOWS\system32\geBuTliG.dll');
     DeleteFile('C:\WINDOWS\system32\xgbojudj.dll');
     DeleteFile('C:\WINDOWS\system32\yaighhnh.dll');
     DeleteFile('C:\WINDOWS\system32\wplayer.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
    DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
    DelBHO('D5EC1EED-5731-4873-AFAE-9DABA29C9FF9');
    DelBHO('03657894-7C44-4EF3-A162-E70D19564373');
    DelWinlogonNotifyByKeyName('geBuTliG');
    BC_ImportALL;
    SysCleanAddFile('wplayer.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24633 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31
    V celom internet javno na4al lu4we rabotat no to4no ne v polnuju silu ( po preznemu ne na vse sajtq zaxodit )+ process mobilesync.exe ne udalilsja ...logi t.k. skrepka opyat ne pojavilas
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 15.06.2008 в 21:04.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    1.Отключите ПК от сети.
    2.Отключите Антивирус.
    3.Отключите системное востановление.
    4. Пофиксите
    Код:
    O2 - BHO: (no name) - {03657894-7C44-4EF3-A162-E70D19564373} - C:\WINDOWS\system32\geBuTliG.dll (file missing)
    O2 - BHO: (no name) - {38EA7F1D-2ED6-4C51-A843-4820B4ED4FB7} - C:\WINDOWS\system32\efcBQifF.dll (file missing)
    O2 - BHO: (no name) - {430E2A3D-53BE-4B9A-8583-6634BC75F81B} - C:\WINDOWS\system32\ljJYSkjK.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O4 - HKLM\..\Run: [Windows svchost] mobilesync.exe
    O4 - HKLM\..\Run: [Windows Control Center] winudpmr.exe
    O4 - HKLM\..\Run: [Windows Controls Center] winudmr.exe
    O4 - HKLM\..\Run: [System Service Manager Device] svho.exe
    O4 - HKLM\..\RunServices: [System Service Manager Device] svho.exe
    O20 - Winlogon Notify: geBuTliG - C:\WINDOWS\
    O20 - Winlogon Notify: ljJYSkjK - C:\WINDOWS\SYSTEM32\ljJYSkjK.dll
    5. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\geBuTliG.dll','');
     DelBHO('{9030D464-4C02-4ABF-8ECC-5164760863C6}');
     DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
     DelBHO('{430E2A3D-53BE-4B9A-8583-6634BC75F81B}');
     DelBHO('{03657894-7C44-4EF3-A162-E70D19564373}');
     TerminateProcessByName('c:\windows\mobilesync.exe');
     DeleteService('wscsvc');
     QuarantineFile('winudpmr.exe','');
     QuarantineFile('winudmr.exe','');
     QuarantineFile('svho.exe','');
     QuarantineFile('C:\WINDOWS\mobilesync.exe','');
     QuarantineFile('C:\WINDOWS\system32\ljJYSkjK.dll','');
     QuarantineFile('ljJYSkjK.dll','');
     QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\yayVLBut.dll','');
     QuarantineFile('c:\windows\mobilesync.exe','');
     DeleteFile('c:\windows\mobilesync.exe');
     DeleteFile('C:\WINDOWS\system32\ljJYSkjK.dll');
     DeleteFile('C:\WINDOWS\system32\yayVLBut.dll');
     DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
     DeleteFile('ljJYSkjK.dll');
     DeleteFile('C:\WINDOWS\mobilesync.exe');
     DeleteFile('svho.exe');
     DeleteFile('winudmr.exe');
     DeleteFile('winudpmr.exe');
     DeleteFile('C:\WINDOWS\system32\efcBQifF.dll');
     DeleteFile('C:\WINDOWS\system32\geBuTliG.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    6. Очистите темп-папки и кэш проводников.
    7. Закачайте карантин красной ссылке вверху темы
    8. Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31
    Файл закачан, спасибо!

    interesnaja vesh s hijack kogda ja fiksil ne nawlos ni odnovo BHO ja udalil vsjo 4to nawlos iz vawevo spiska, zatem sdelav echo 1 scan ja obnaruzil 5 BHO kotorie bili v vawemspiske i udalil ix


    skrepki opyat net ! logi :
    http://www.speedyshare.com/512348154.html
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 16.06.2008 в 12:46.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Viktor123 Посмотреть сообщение
    skrepki opyat net !
    она и ненужна: Скролльте просто вниз до кнопки Управление вложениями

    1.Отключите ПК от сети.
    2.Отключите Антивирус.
    3.Отключите системное востановление.
    4. Пофиксите
    Код:
    O2 - BHO: (no name) - {5787C6FA-7D39-4596-82A6-6C8BC0AF9794} - C:\WINDOWS\system32\xxyvvUME.dll
    O4 - HKLM\..\Run: [BM3336be45] Rundll32.exe "C:\WINDOWS\system32\bmtjoano.dll",s
    5. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{38EA7F1D-2ED6-4C51-A843-4820B4ED4FB7}');
     DelBHO('{430E2A3D-53BE-4B9A-8583-6634BC75F81B}');
     DelBHO('{5787C6FA-7D39-4596-82A6-6C8BC0AF9794}');
     QuarantineFile('C:\WINDOWS\system32\efcBQifF.dll','');
     QuarantineFile('C:\WINDOWS\system32\ljJYSkjK.dll','');
     QuarantineFile('C:\WINDOWS\system32\xxyvvUME.dll','');
     QuarantineFile('C:\WINDOWS\system32\bmtjoano.dll','');
     DeleteFile('C:\WINDOWS\system32\bmtjoano.dll');
     DeleteFile('C:\WINDOWS\system32\xxyvvUME.dll');
     DeleteFile('C:\WINDOWS\system32\ljJYSkjK.dll');
     DeleteFile('C:\WINDOWS\system32\efcBQifF.dll');
     BC_DeleteFile('C:\WINDOWS\system32\bmtjoano.dll');
     BC_DeleteFile('C:\WINDOWS\system32\xxyvvUME.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ljJYSkjK.dll');
     BC_DeleteFile('C:\WINDOWS\system32\efcBQifF.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    6. Очистите темп-папки и кэш проводников.
    7. Закачайте карантин красной ссылке вверху темы
    8. Повторите логи.
    Последний раз редактировалось Rene-gad; 16.06.2008 в 13:01. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31
    spasibo, vsjo sdelal kak skazali:
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Сейчас в логах чисто. Какие проблемы наблюдаете?

  10. #9
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Сейчас в логах чисто. Какие проблемы наблюдаете?
    problem vvide novix .exe fajlov vsplivajuwix okon s reklamoj antispy trojan i t.d. ne vizu no esli brat v primer 1j kompjuter gde vi mne pomogli i inet zarabotal v polnuju silu vsjudu zaxodya to tut takovo netu ;[ na mnogie sajtq vsjo ravno ne zaxodit no javno uskorilsja ;] na mail.ru zaxodit eto uspeh )))

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Вы кэш ИЕ почистили? Как ситуация с другими проводниками (Файфокс, Опера и т.д.)?
    Выполните скрипт
    Код:
    begin
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(13);
    end.
    перегрузитесь вручную и проверьте.

  12. #11
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31
    poleznij script nado evo soxranit ;]

    udalil papki temp i temporary internet files + vo vsex 3ex brouzerah udalil kuki cashe i t.d. problema ostalas ta ze..
    zametil strannost : eto slu4aetsya tolko kogda podklju4ajus k internetu 4erez ruuter< esli japodklju4ajus 4erez dial up to na vse sajtq normalno rabotajut . kogda ruuter vrublen bivaet na odin sajt ne zaxodil v firefoxe no zaxodit v opere ili v IE no est sajtq na kotorie voobwe ne xo4et zaxodit
    mozet li bit eto iz-za ruutera ?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    А к рутеру Вы через все проводники обратиться можете? Обычно рутер требует установки куков и еще м.б. джава скрипт (но тут я не уверен ). Кроме того для некоторых провайдеров и моделей рутеров нужно еще альтернативный DNS-Server задавать и т.д. Файрволл в рутере активирован?

  14. #13
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    21
    Вес репутации
    31
    firewoll aktivirovan ;] nashot drygovo 4to vi skazali osobo ne warju no v obwem master priwol ustanovil uwol ;].
    kogda stavili ruuter vsjo bilo takze s internetom posle zvonka k nim oni proverili ruuter kotorij okazalsja normalnim ;]] t.k. v principe y menja laptop est i esli na moem pk ne zaxodit zaxodil 4erez laptop... potom menja odoleli virusq i ja sdelal format posle kotorovo o 4udo vsjo prekrasno zarabotalo ja bil v woke ot etovo ;] zatem 4erez 2 dnja menja na4ali odolevat snova virusq posle pojavlenija .exe fajlov inet snova na4al tormozit/ . dolgo i uporno pitalsja ix udalit no ne polu4alos => obratilsja k vam ;]
    I nakonec klju4evoj moj vopros na kotorij ja vprincipe sam uze nawol otvet ;]
    do formata ja polzovalsja NOD32 samoj novoj versiej - vsegda vstavljaja fleshku nod32 nikogda ni4evo ne zame4al posle formata ne imeja echo antivirusa ja vstavil fleshku na kotorij ja skinul drwebinstall ustanovil evo perezapustil pc i on srazu nawol na fleshke 4ervja v autorune mog li etot worm ska4at trojanov na moi pc i sdelat to 4to vi ispravili ) ?
    a to ja sna4ala v woke bil kak tak posle polnovo formatirovanija vsex zestkix diskov virusq ne udalilis ))

    Добавлено через 1 минуту

    da tut paralllno knizku 4itaju v skorom vremeni sobirajus vse rekomendacii vipolnit http://security-advisory.virusinfo.info/EBook2.0.htm
    Последний раз редактировалось Viktor123; 16.06.2008 в 21:07. Причина: Добавлено

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,539
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 58
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\ise32.exe - Backdoor.Win32.Poison.dcx (DrWEB: Trojan.Inject.348
      2. c:\\windows\\mobilesync.exe - Backdoor.Win32.IRCBot.doq (DrWEB: BackDoor.IRC.Sdbot.3662)
      3. c:\\windows\\system32\\bmtjoano.dll - Trojan.Win32.Monder.qx (DrWEB: Trojan.Virtumod.based.16)
      4. c:\\windows\\system32\\efcbqiff.dll - not-a-virus:AdWare.Win32.Virtumonde.ymg (DrWEB: Trojan.Virtumod.427)
      5. c:\\windows\\system32\\gebutlig.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.DownLoader.59972)
      6. c:\\windows\\system32\\ljjyskjk.dll - Trojan.Win32.Agent.rtz (DrWEB: Trojan.DownLoader.59972)
      7. c:\\windows\\system32\\svho.exe - Trojan.Win32.FindVM.i
      8. c:\\windows\\system32\\telecms.exe - Trojan.Win32.FindVM.ae
      9. c:\\windows\\system32\\xgbojudj.dll - not-a-virus:AdWare.Win32.Virtumonde.yuv (DrWEB: Trojan.Virtumod.based.16)
      10. c:\\windows\\system32\\xxyvvume.dll - Trojan.Win32.Monder.rw (DrWEB: Trojan.Virtumod.based.16)
      11. c:\\windows\\system32\\yaighhnh.dll - Trojan.Win32.Monder.qx (DrWEB: Trojan.Virtumod.based.16)
      12. c:\\windows\\system32\\yayvlbut.dll - Trojan.Win32.Agent.rtz (DrWEB: Trojan.DownLoader.59972)
      13. c:\\windows\\winudmr.exe - Trojan.Win32.FindVM.k
      14. c:\\windows\\winudpmr.exe - Trojan.Win32.FindVM.d (DrWEB: BackDoor.IRC.Sdbot.4075)


  • Уважаемый(ая) Viktor123, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 22.11.2011, 21:06
    2. Ответов: 4
      Последнее сообщение: 24.05.2010, 22:27
    3. Ответов: 3
      Последнее сообщение: 01.11.2009, 22:13
    4. Не удаляемые трояны
      От Duplex в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.09.2009, 09:19
    5. Ответов: 2
      Последнее сообщение: 24.05.2008, 13:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00546 seconds with 22 queries