Junior Member
Вес репутации
56
Iexplore.exe в диспетчере задач.
Здравствуйте.
Некоторое время назад заметил у себя в диспетчере задач процесс iexplore.exe, покопавшись на форумах выяснил, что это троян. Пытался решить проблему самостоятельно (удалив всю информацию с именем iexplore.exe из реестра (до этого проверялся Symantec Antivirus - не помогло). В итоге сейчас этого процесса нет, но комп тормозит и появились еще неизвестные мне процессы в диспетчере - jwqa.exe, jwta.exe, jfxk.exe, smss.exe, lsass.exe J001.exe...... Вообще-то в компах я, практически, чайник, но что то мне говорит что их быть не должно.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
iexplore.exe- это мог быть и хороший файлик...
"Пофиксите" в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\jwta.exe');
TerminateProcessByName('c:\windows\system32\jwqa.exe');
TerminateProcessByName('c:\windows\system32\jfxk.exe');
TerminateProcessByName('c:\windows\system32\gd\j001.exe');
QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll','');
QuarantineFile('c:\docume~1\1ee4~1\applic~1\phoneo~1\savempegloud.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\xl5chs35.dll','');
QuarantineFile('c:\windows\system32\svmsns.dll','');
QuarantineFile('C:\WINDOWS\system32\jwta.exe','');
QuarantineFile('C:\WINDOWS\system32\jwqa.exe','');
QuarantineFile('C:\WINDOWS\system32\jfxk.exe','');
QuarantineFile('C:\WINDOWS\system32\GD\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.ocx','');
QuarantineFile('c:\windows\msscripg.dll','');
QuarantineFile('c:\windows\js325023l.dll','');
QuarantineFile('c:\windows\system32\gd\j001.exe','');
QuarantineFile('c:\windows\system32\jwta.exe','');
QuarantineFile('c:\windows\system32\jwqa.exe','');
QuarantineFile('c:\windows\system32\jfxk.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.dll','');
DeleteService('acpi64Drv');
DeleteService('jwta');
DeleteService('jwqa');
DeleteService('jaxk');
DeleteFile('C:\WINDOWS\system32\acpi64.dll');
DeleteFile('c:\windows\system32\gd\j001.exe');
DeleteFile('c:\windows\system32\jfxk.exe');
DeleteFile('c:\windows\system32\jwqa.exe');
DeleteFile('c:\windows\system32\jwta.exe');
DeleteFile('c:\windows\js325023l.dll');
DeleteFile('c:\windows\msscripg.dll');
DeleteFile('C:\WINDOWS\system32\acpi64.ocx');
DeleteFile('C:\WINDOWS\system32\GD\J001.exe');
DeleteFile('C:\WINDOWS\system32\jfxk.exe');
DeleteFile('C:\WINDOWS\system32\jwqa.exe');
DeleteFile('C:\WINDOWS\system32\jwta.exe');
DeleteFile('c:\windows\xl5chs35.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\SSPORT.sys');
DeleteFile('C:\WINDOWS\system32\acpi64.sys');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('SSPORT');
BC_DeleteSvc('jwta');
BC_DeleteSvc('jwqa');
BC_DeleteSvc('jaxk');
BC_DeleteSvc('acpi64Drv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=40369
Повторите логи по правилам.
Junior Member
Вес репутации
56
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('acpi64');
DeleteFile('c:\windows\system32\svmsns.dll');
DeleteFile('C:\WINDOWS\system32\acpi64.exe');
DeleteFile('C:\WINDOWS\wt\webdriver\webdriver.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('acpi64');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
56
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\windows\msscripg.dll - Trojan-Downloader.Win32.Agent.bjxc c:\windows\system32\acpi64.dll - Trojan-Downloader.Win32.Agent.bisg c:\windows\system32\acpi64.ocx - Trojan-Downloader.Win32.Agent.bisg c:\windows\system32\gd\j001.exe - Trojan-Downloader.Win32.Agent.bkbq c:\windows\system32\jfxk.exe - Backdoor.Win32.Agent.aeea (DrWEB: DDoS.Attack.origin) c:\windows\system32\jwqa.exe - Trojan.Win32.Agent.bsft (DrWEB: DDoS.Attack.origin) c:\windows\system32\jwta.exe - Backdoor.Win32.Agent.aeea (DrWEB: DDoS.Attack.origin) c:\windows\system32\svmsns.dll - Backdoor.Win32.PcClient.adtv (DrWEB: BackDoor.PcClient.593)