Показано с 1 по 14 из 14.

Запрыгнул ~.exe и натворил бед (заявка № 26912)

  1. #1
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64

    Exclamation Запрыгнул ~.exe и натворил бед

    Здравствуйте!
    Началось с того что при посещении какого-то сайта (использовал Мозилла 3beta4) Каспер выдал диалоговое окно с предупреждением Invader ... бла-бла-бла ... ~.exe. Я выбрал запрет, но все равно заразился. Каспер (IC7) уже месяца 4 не продлевался, базы старые.

    Сканировал с помощью AVZ несколько раз, постоянно находятся новые трояны, последние логи приложил. В диспетчере у всех пользователей также есть запущенные левые экзешники. Я их прибиваю, но появляются новые, с такими же абракадабрами вместо названия. Сидели в Local setting/Temp.

    Скачать Cureit не получается, сайт недоступен с моего компьютера. Пробовал скачать онлайн-сканер от Каспера (27мб на на диалапе), но на 99% загрузки вышло сообщение об ошибке загрузки, остался ни с чем. Нашел на компе старую версию офлайн-сканера от Каспера: setup_7.0.0.157_24.08.2007_14-09.exe, полностью сканирование не закончил, но что-то нашлось. Теперь удалить эту прогу не могу, она появляется в диспетчере сразу после включения компьютера. При этом ни одну из программ не могу запустить, выскакивает сообщение об ошибке запущенной программы и - извинения. Если ничего не трогать, то все равно выскакивает сообщение об ошибке explorer.exe, и происходит перезагрузка рабочего стола. За те мгновения, что диспетчер активен успеваю прибить процесс setup_7.0.0.157_24.08.2007_14-09.exe, после чего программы начинают нормально запускаться.

    Какая-то гидра многоголовая сидит в неизвестном месте, я ей бошки рублю, а у неё новые вырастают.
    Такие вот дела. Челом бью... опять.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('asc3360pr');
     QuarantineFile('C:\WINDOWS\system32\drivers\jjuijn.sys','');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\WINDOWS\system32\drivers\jjuijn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    setup_7.0.0.157_24.08.2007_14-09 -это же авптул ...
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    setup_7.0.0.157_24.08.2007_14-09 -это же авптул ...
    Удалил я его, но лог успел снять вместе с ним.
    Карантин отправил.
    Периодически что-то закачивается в меня ... даже при закрытых браузерах.
    Вложения Вложения
    Последний раз редактировалось hash; 23.07.2008 в 01:17.

  5. #4
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Попробовал скачать Cureit по ссылке из правил. После щелчка по ссылке IE захлопнулся. Может стоит его где-то выложить под измененным названием?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Аккуратно выполните пункт 1 отсюда: http://virusinfo.info/showthread.php?t=15927
    CureIt! надо будет скачать на здоровом компьютере.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Цитата Сообщение от kps Посмотреть сообщение
    Аккуратно выполните пункт 1 отсюда: http://virusinfo.info/showthread.php?t=15927
    CureIt! надо будет скачать на здоровом компьютере.
    Пункт номер 1 выполнить не могу, т.к. компьютер не переходит в безопасный режим. Есть какой-то иной путь перехода в безопасный режим кроме F8?
    Пункт номер 2: не произойдет ли заражение здорового компьютера после подключения к нему больного диска?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    По поводу пункта 1: Можно попробовать восстановить безопасный режим таким скриптом в AVZ:
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Если после этого у Вас не получится зайти в безопасный режим, то можете пропустить это и сделать проверку CureIt! c защищенного носителя в обычном режиме.

    По поводу пункта 2 - заражение здорового компьютера не произойдет, если Вы не будете запускать с больного диска зараженные файлы.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Докладываю!
    Скачал и записал на CD CureIT на здоровом компьютере. Запустил в обычном режиме. Инфицированными были признаны практически все экзешники на компьютере.
    Позже уже прочел про способ восстановления безопасного режима - помогло.
    Установил попутно триальный DRWEB (сканер+ guard), и теперь не могу понять - отчего продолжается вкачивание трафика - опять от троянов, или Drweb себя обновляет (хотя чего обновлять, час назад скачал с сайта версию 444)?
    Заходы по ссылкам на сайт drweb.com стали успешными.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Проверьте еще разок обновленным антивирусом или свежим CureIt!, если вирусы больше не будут обнаружены, то сделайте новые логи по правилам. Посмотрим, может, что еще осталось.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Прогнал свежим CureIT! в безопасном режиме, затем обновленным AVZ, логи прикладываю.
    Как отключить автозагрузку с CD? В 98-й была явная галка в свойствах привода, а в XP нету.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    CureIt! во время последней проверки больше вирусов не нашел?

    Почистим реестр:
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\drivers\jjuijn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('asc3360pr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    MyCentria лучше удалить (деинсталлировать).

    Про отключение автозапуска посморите здесь: http://virusinfo.info/showpost.php?p=157432&postcount=2
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Цитата Сообщение от kps Посмотреть сообщение
    CureIt! во время последней проверки больше вирусов не нашел?
    Нашел! Четыре штуки, но что за вирусы, и где они сидели сказать не могу, т.к. компьютером после завершения сканирования пользовались другие. CureIT сохраняет где-нибудь логи сканирования?

    Почистим реестр:
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\drivers\jjuijn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('asc3360pr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    MyCentria лучше удалить (деинсталлировать).
    MyCentria пришлось удалять удалением папки из Program files, т.к. uninstal запускался с ошибкой.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Да, сохраняет. В настройках на закладке "отчет" посмотрите - куда он сохраняет.
    Если находил файловые вирусы, то я бы еще раз CureIt!'ом сделал полную проверку в обычном режиме, чтобы убедиться в излечении.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) hash, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00039 seconds with 19 queries