Показано с 1 по 17 из 17.

iexplorer.exe говорит по китайски (заявка № 35459)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31

    Question iexplorer.exe говорит по китайски

    Каждое утро при загрузке системы автоматически загружается iexplore.exe, это видно только в диспетчере задач, начинает говорить по китайски(или японски) затем начинает разростатьсяс 20 Мб до 140-200 Мб, если его выбросить с процессов до того как он закончил говорить через 2 минуты он опять подгружается.
    При загрузке обозревателя в диспетчере висят два iexplore.exe процесса.

    За последнюю неделю было замечено две подозрительные реакции
    1.Запрос на обновление флеш..
    2.Просил установить китайский шрифт (скрипт) уже не помню
    В первом случае я согласился, во втором отказался.

    Переодически разные системные файлы грузят проц на 100% gjcktlybq xnj pfgjvybk emp-dm.exe, в диспетчере висят два taskmgr.exe и taskmagr.exe, с разницей в одну букву.

    На компе стоит НОД, раньше стоял Нортон, до него Касперский...
    Каждого антивируса хватает на 4-6 месяцев, затем после деинсталяции и установки другого вылазят куча вирусни которые предыдущий анти игнорировал...

    Если честно немного утомляет...

    Помогите чем сможете, не хочу Нод сносить...
    Последний раз редактировалось svoyv; 06.02.2011 в 15:00.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\taskmagr.exe','');
     BC_DeleteSvc('Winua51');
     BC_DeleteSvc('Winns51');
     BC_DeleteSvc('Winlq51');
     BC_DeleteSvc('W32TimeFirebirdGuardianDefaultInstance');
     BC_DeleteSvc('VSSW32Time');
     BC_DeleteSvc('VSSccSetMgr');
     BC_DeleteSvc('TrkWksNBService');
     BC_DeleteSvc('TrkWksCryptSvc');
     BC_DeleteSvc('ThemesNtLmSsp');
     BC_DeleteSvc('SymantecTrkWksNBService');
     BC_DeleteSvc('SENSThemes');
     BC_DeleteSvc('SpoolerFirebirdGuardianDefaultInstanceProtectedStorage');
     BC_DeleteSvc('SpoolerHidServ');
     BC_DeleteSvc('SavRoamSpooler');
     BC_DeleteSvc('SamSsVSS');
     BC_DeleteSvc('SamSsNtLmSsp');
     BC_DeleteSvc('RasAutoSpoolerFirebirdGuardianDefaultInstanceProtectedStorage');
     BC_DeleteSvc('NtmsSvcPlugPlay');
     BC_DeleteSvc('NetmanFirebirdGuardianDefaultInstance');
     BC_DeleteSvc('mnmsrvcSamSs');
     BC_DeleteSvc('FirebirdGuardianDefaultInstanceProtectedStorage');
     BC_DeleteSvc('DcomLaunchDcomLaunchAudioSrv');
     BC_DeleteSvc('DcomLaunchDcomLaunch');
     BC_DeleteSvc('COMSysAppSwPrv');
     BC_DeleteSvc('AlerterProtectedStorage');
     BC_DeleteSvc('AdobeNetDDEdsdm');
     QuarantineFile('c:\windows\system32\wmdmpmsvc.dll','');
     DeleteFile('c:\windows\system32\wmdmpmsvc.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlq51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winns51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winua51.sys');
    DeleteFile('c:\windows\system32\taskmagr.exe');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31
    Посмотрим утром..


    Карантин удален
    Последний раз редактировалось PavelA; 10.12.2008 в 18:20.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    http://virusinfo.info/upload_virus.php?tid=35459 - карантин туда грузить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31
    Все работает, все гуд, СПАСИБА...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Логи повторите, однако. Надо удостовериться.

  8. #7
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31
    Эта китайская хрень опять пробилась, после установки COMODO firewall
    отправляю вам опять карантин с файлом c:\windows\system32\taskmagr.exe
    в этот раз размерчик у него другой...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Снова делай логи. повторим лечение.

    З.Ы. Я не критикую НОД, но это его упущение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    taskmagr.exe_ - Trojan-Downloader.Win32.Agent.ayrc
    логи повторите.

  11. #10
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31

    отлучался на праздники

    Повторяю лог, уже стоит НОД 32 версия 3, после установки кое чего понаходил новенького например Alman.Nab в большом количестве, HackTool.Patcher, Patched.Bu, BHO, Agent, Agent THO...
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Alman.Nab -
    http://www.eset.eu/encyclopaedia/alm...b_inf_c?lng=en

    Лечится Вам с LiveCD, используя CureIt
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31
    CureIt нашел здесь:
    в ПРАВИЛАХ
    ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

    а что такое LiveCD и где его искать?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    liveCd - Это CD, с которого можно загрузить Винду и запустить Куреит на проверку жесткого диск.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31
    Проверка Курентом с другого компа по сети не подойдет?

    Или например снять винт и подключить к др компу, у меня например карман с юсб есть...

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Второй вариант правильнее и безопаснее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    43
    Вес репутации
    31
    АВЗ4 нашел подозрение:
    C:\WINDOWS\system32\WinCtrl32.dll

    Panda "активскан" его определил как
    Trj/BedeTres.R и вылечил.

    мой нод его не видит
    virusscan дал такие параметры:
    >A-Squared Found Trojan-Dropper.Kobcka!IK
    >AntiVir Found TR/Dropper.Gen
    >ArcaVir Found nothing
    >Avast Found Win32:Mutant-CX
    >AVG Antivirus Found nothing
    >BitDefender Found Trojan.Dropper.Kobcka.Gen.1
    >ClamAV Found Trojan.Downloader-55843
    >CPsecure Found nothing
    >Dr.Web Found BackDoor.Bulknet.225
    >F-Prot Antivirus Found W32/Downldr2.EWWB
    >F-Secure Anti-Virus Found Trojan-Downloader.Win32.Mutant.bms
    >G DATA Found Win32:Mutant-CX
    >Ikarus Found Trojan-Dropper.Kobcka.Gen.1
    >Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Mutant.bms
    >NOD32 Found nothing
    >Norman Virus Control Found W32/DLoader.JTNW
    >Panda Antivirus Found nothing
    >Sophos Antivirus Found Mal/Generic-A
    >VirusBuster Found Trojan.DR.Pandex.Gen.7
    >VBA32 Found Trojan-Downloader.Win32.Mutant.blh

    Интересно что здесь панда его не видит.
    Вылечено удалением.

    Вопрос на долго ли...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\taskmagr.exe - Trojan-Downloader.Win32.Agent.ayrc
      2. c:\\windows\\system32\\taskmagr.exe - Trojan.Win32.Agent.atex (DrWEB: Trojan.Siggen.1529)
      3. c:\\windows\\system32\\wmdmpmsvc.dll - Trojan-Downloader.Win32.Zlob.aowz (DrWEB: Trojan.Siggen.1530)


  • Уважаемый(ая) svoyv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. SAV говорит, что ничего нет, но что-то сжирает ресурсы
      От Вадим Комаровский в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.05.2010, 22:59
    2. aps говорит о харских атаках - так ли это?
      От mxman в разделе Сетевые атаки
      Ответов: 36
      Последнее сообщение: 09.04.2010, 16:37
    3. Gmer говорит о руткит-активности
      От GRomaN в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.12.2009, 18:41
    4. О чём говорит Файрволл?
      От PORSHEvchik в разделе Межсетевые экраны (firewall)
      Ответов: 2
      Последнее сообщение: 14.04.2009, 18:54
    5. Проверка зрения по-китайски...
      От Rene-gad в разделе Юмор
      Ответов: 13
      Последнее сообщение: 18.03.2008, 13:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00689 seconds with 24 queries