Показано с 1 по 14 из 14.

Подскажите пожалуйста, как бороться с файлами eventwvr.exe, eventlog.dll, eventcls.dll (заявка № 41209)

  1. #1
    Junior Member Репутация
    Регистрация
    07.03.2009
    Адрес
    путешествую
    Сообщений
    13
    Вес репутации
    55

    Exclamation Подскажите пожалуйста, как бороться с файлами eventwvr.exe, eventlog.dll, eventcls.dll

    Я проверяла свой компьютер антивирусной программой Remove IT. Она нашла подозрительный файл events.exe по адресу C\windows\System32 но сама не смогла его удалить. Я попробовала удалить его вручную, но это оказалось невозможным, был ответ, что файл занят каким-то приложением и не может быть удален. Во время подключения к интернету он сразу же начинал что-то выкачивать из сети и создавать папки все в том же System32. Тогда я поступила так:
    Панель управления\Администрирование\Службы. В разделе "Службы" нашла запись: Event logs, отключила ее и перезагрузила компьютер. После этого файл events.exe легко удалился. Однако он создал файлы
    C:\WINDOWS\System32\eventwvr.exe
    C:\WINDOWS\System32\eventlog.dll
    C:\WINDOWS\System32\eventcls.dll
    Которые сразу после удаления создаются вновь и сама служба с названием Event logs не удаляется.
    Подскажите пожалуйста, как можно решить эту проблему и полностью очистить компьютер?
    Заранее Вам очень благодарна!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('acpi64Drv');
     DeleteService('SeterSvc');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
     TerminateProcessByName('c:\windows\system32\traffic\smss.exe');
     QuarantineFile('c:\windows\system32\traffic\smss.exe','');
     TerminateProcessByName('c:\docume~1\artur\locals~1\temp\rtkbtmnt.exe');
     QuarantineFile('c:\docume~1\artur\locals~1\temp\rtkbtmnt.exe','');
     TerminateProcessByName('c:\windows\system32\ynerw\j001.exe');
     QuarantineFile('c:\windows\system32\ynerw\j001.exe','');
     DeleteFile('c:\windows\system32\ynerw\j001.exe');
     DeleteFile('c:\docume~1\artur\locals~1\temp\rtkbtmnt.exe');
     DeleteFile('c:\windows\system32\traffic\smss.exe');
     DeleteFile('C:\WINDOWS\system32\acpi64.sys');
     DeleteFile('C:\WINDOWS\System32\Ageia\smss.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    07.03.2009
    Адрес
    путешествую
    Сообщений
    13
    Вес репутации
    55

    Посылаю новые логи и архив карантина

    Большое спасибо за ответ, V_Bond!
    Я выполнила скрипты.
    Посылаю новые логи и архив карантина, посмотрите пожалуйста.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    логи повторите.

  6. #5
    Junior Member Репутация
    Регистрация
    07.03.2009
    Адрес
    путешествую
    Сообщений
    13
    Вес репутации
    55

    По Вашей просьбе повторяю логи

    Уважаемый light59!
    по Вашей просьбе повторяю логи.
    Заранее Вам благодарна за совет и помощь!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    выполните скрипт
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
    end.
    пришлите карантин согласно приложения 3 правил

  8. #7
    Junior Member Репутация
    Регистрация
    07.03.2009
    Адрес
    путешествую
    Сообщений
    13
    Вес репутации
    55

    Скрипты выполнила, но запрошенный файл AVZ найти не может

    Уважаемый Rene-gad!
    Присланный Вами скрипт я выполнила.
    Но файл 'C:\WINDOWS\system32\acpi64.sys'
    AVZ найти не может. Я сама искала такой через проводник. Файла с таким названием по этому адресу нет. Зато есть acpi64.cnm
    Я попробовала задать для AVZ такой путь для поиска и помещения в карантин 'C:\WINDOWS\system32\acpi64.cnm
    Посылаю Вам архив этого карантина на обследование.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В присланном Вами файле (втором) не найдено ничего вредоносного.
    А в первом:
    j001.exe - Trojan-Downloader.Win32.Agent.bkbq
    smss.exe - Trojan-Downloader.Win32.VB.kxx

  10. #9
    Junior Member Репутация
    Регистрация
    07.03.2009
    Адрес
    путешествую
    Сообщений
    13
    Вес репутации
    55

    я нашла в c\windows\system32\ только файл smss.exe

    Большое спасибо за подсказку!

    Но я нашла в c\windows\system32\ только файл smss.exe и он не удаляется. Второго файла j001.exe не нашла.
    К тому же мой вопрос про файлы eventwvr.exe, eventlog.dll, eventcls.dll остался без ответа. Они по прежнему не удаляются. Когда я подключаюсь к сети, вновь что-то сразу начинает выкачиваться без моего разрешения.
    Подскажите пожалуйста что мне делать дальше?
    Заранее премного благодарна!

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего не нужно удалять ! это системные фалы ...
    (зловреды удалены скриптом)

  12. #11
    Junior Member Репутация
    Регистрация
    07.03.2009
    Адрес
    путешествую
    Сообщений
    13
    Вес репутации
    55

    Еще один вопрос

    Большое спасибо! Теперь мне все понятно.
    У меня еще вопрос:
    Я прочла на Вашем сайте правила по защите компов от вирусов и решила последовать этим советам.
    Создала на своем компе 2 учетных записи - админ и юзер, обе запаролила и перезагрузила комп. Результат - ни один из паролей не открывался. Были проверены раскладки клавиатуры и клавиша Caps Lock, все безрезультатно. Я также не смогла зайти через клавишу F8 - через безопасный режим. Когда я выбирала вход через безопасный режим, комп каждый раз перезагружался и вновь и вновь требовал зайти через обычный режим.
    Как мне в итоге все же удалось зайти?
    F8\ Режим VGA\ в этом режиме клавиши Alt-Ctrl-Del, появляется маленькая менюшка с именем пользователя. Хотя на компе по умолчанию английская раскладка, но здесь почему-то была русская. Также на компе переход на рус-англ раскладку установлен клавишами Shift-Ctrl, однако здесь почему-то действовали клавиши Alt-Shift. Там мне удалось перейти на англ раскладку, я набрала пароль и смогла войти в систему.
    Подскажите пожалуйста, это результат действия какого-то вируса или просто сбой в системе?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это установки для входа в систему по умолчанию ... Alt-Shift , русский ...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Система при установке намекает на возможность изменения этих умолчаний, но мало кто на эти намёки обращает внимание. А после установки так просто их уже не поменять.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\traffic\smss.exe - Trojan-Downloader.Win32.VB.kxx( BitDefender: Trojan.Generic.1536834 )
      2. c:\windows\system32\ynerw\j001.exe - Trojan-Downloader.Win32.Agent.bkbq( BitDefender: Trojan.Panddos.AN )


  • Уважаемый(ая) Таисия Маркелова, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. WINHELP32 Подскажите как бороться...
      От IntGirl в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 07:29
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 05:59
    3. Подскажите что за вирус и как бороться
      От nig25 в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 11.11.2008, 15:14
    4. Ответов: 3
      Последнее сообщение: 13.07.2008, 02:39
    5. Обмен файлами в локальной сети,подскажите pls
      От Dime3us в разделе Софт - общий
      Ответов: 9
      Последнее сообщение: 28.12.2005, 23:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00540 seconds with 19 queries