-
Junior Member
- Вес репутации
- 53
Плодятся файлы абракадабра.exe
Добрый день!
Извините, что отступаю от принятого здесь сценария. Дело в том, что не знаю основного файла вируса. Антивирусники Касперского и avast ничего не находят.
Проявляется он так.
Создается куча файлов абракадабра.exe в Documents and settings. И дальше в каталогах всех пользователей и в C:\Documents and Settings\LocalService.
Все файлы одного размера, но с разными значками. Все от корпорации Майкрософт. В описании написано, что это CTF Loader и что файл CTFMON.EXE.
В regedit все эти файлы стоят в разных местах в автозагрузке с ключом /r.
Еще в каталогах с файлами есть один или 2 файла. Имя - абракадабра без расширения. Файл или пустой или записан путь к одному экзешнику.
Рееестр я почищу, файлы уберу. Но кто-то же расплодил их на компе! Да, комп не загружается в защищенном режиме.
А началось все с бесконечных предупреждений при запуске компьютера, что файл logon.exe (или типа того) занят другой программой.
Буду признателен за совет и помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Затык на втором пункте. Я писал, что комп не грузится в безопасном режиме.
Попробую сделать остальное.
-
Пропустите проверку в безопасном режиме. Выполняйте написанное в разделе Диагностика
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выкладываю логи.
Ключи реестра с расплодившимися файлами я удалил до проверки. Иначе невозможно было перегружаться. Сами файлы убрал в другую папку. Они не определялись как вирусы.
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('logon.exe','');
DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
DelCLSID('00A6FAF6-072E-44cf-8957-5838F569A31D');
DelCLSID('00A6FAF1-072E-44cf-8957-5838F569A31D');
DelCLSID('07B18EA1-A523-4961-B6BB-170DE4475CCA');
DelCLSID('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
DelCLSID('07B18EA9-A523-4961-B6BB-170DE4475CCA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сообщение от
AKC
Сами файлы убрал в другую папку.
Пришлите один такой файл в zip архиве с паролем virus по той же ссылке.
-
-
Junior Member
- Вес репутации
- 53
Файлы отправил.
Сегодня при первой перезагрузке (еще до скрипта) сетевой экран avast заблокировал вредоносное подключение к какому-то сайту. Я хотел посмотреть журнал avast, но он не запустился.
В диспетчере задач висел процесс iexplore.exe, хотя я его не запускал. (обратил внимание, когда хотел сменить пользователя, а винда выдала сообщение, что эта программа не отвечает).
Как только выгрузил дерево процесса, журнал сам открылся. К сожалению, там нет сообщения о блокировке сетевым экраном. Адрес сайта я не успел зафиксировать.
После скрипта и перезагрузки все повторилось. Вот только AVZ я запустил с ограниченными правами. Может повторить с правами адинистратора?
Последний раз редактировалось AKC; 02.11.2009 в 12:29.
-
Сообщение от
AKC
Создается куча файлов абракадабра.exe
Присланный файл (ygnvdltbjrah.exe) компонент антивируса Avast.
Сообщение от
AKC
Вот только AVZ я запустил с ограниченными правами. Может повторить с правами адинистратора?
Повторите.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
От администратора помогло. Аваст молчит, iexplore.exe в процессах нет.
Но вот в безопасном режиме комп так и не грузится. появляется синий экран и комп выключается.
-
В логе чисто.
Сообщение от
AKC
в безопасном режиме комп так и не грузится. появляется синий экран и комп выключается.
Отключите автоматическую перезагрузку:
Свойства компьютера - Дополнительно - Загрузка и восстановление.
И запишите первые две строки с синего экрана.
-
-
Junior Member
- Вес репутации
- 53
Техническая информация на синем экране:
STOP: 0x0000007B (0xF7C47524, 0xC0000034, 0x000000, 0x000000).
Сейчас на всякий случай запустил CHKDSK /F. Из-под XP он не запускается, говорит другой процесс блокирует. Проверяет после перезагрузки.
Еще пара проблем.
1. Нет варианта "Сменить пользователя" - только "Выход из системы".
2. Всегда висит вариант в выключении компьютера "Установить обновления ВИндоус и выключить компьютер". При выборе этого пункта устанавливаются 2 обновления. Но при загрузке в меню снова этот пункт. И снова точно так же, за то же время (первое долго, второе быстро) устанавливаются судя по всему те же "обновления".
Все, сканирование прошло. Все осталось без изменений. И та же строчка в безопасном режиме.
-
AVZ -> Файл -> Восстановление системы -> поставить галочку на п.10 -> выполнить отмеченные операции. Перезагрузить компьютер. Помогло?
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Помогло. Сейчас на всякий случай прогоню проверку Касперским в безопасном режиме.
Кстати, последним перед синим экраном грузился драйвер mup.sys.
А не подскажете, как быть со сменой пользователя и обновлениями?
Добавлено через 22 минуты
Уже в logon.exe нашел троян. Не зря вы его заподозрили (или avz).
Блин, что-то ноут перегревается в безопасном режиме. Уже в третий раз отключается... И вентиляторы работают на полную, как-будто видюха очень крутую игрушку гоняет.
Подожду Вашего ответа, не буду включать, а то ноут сгорит. Очень уж сильно разогрелся...
Добавлено через 11 минут
Кстати, у нас в семье несколько месяцев назад на двух ноутах видеочипы сгорели. С интервалом в несколько дней. А данные с них кочуют (диски от них). И еще один раньше накрылся - тоже чип видюхи. Уж не одна ли это зараза???
Последний раз редактировалось AKC; 02.11.2009 в 16:21.
Причина: Добавлено
-
Сообщение от
AKC
А не подскажете, как быть со сменой пользователя и обновлениями?
Службы:
- Совместимость быстрого переключения пользователей
- Службы терминалов
запущены?
Удалите папку C:\WINDOWS\SoftwareDistribution
Проверяйте в Нормальном режиме.
-
-
Junior Member
- Вес репутации
- 53
Службы запустил. Не помогло.
Папку удалил в безопасном режиме, помогло. Спасибо!
Касперский опять нашел в logon.exe вирус Trojan.Win32.Vilsel.lit. Сам не удалил, я ему помог через его функции. Вылечить он его не смог.
До этого натравил на этот файл своего Аваста - тот промолчал.
Проверка продолжается. Виндоус то запустится без этого файла?
-
Сообщение от
AKC
Виндоус то запустится без этого файла?
Да.
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо за помощь!
Вот только удивляет, что Аваст не находит вируса в файле, который в карантине. А Касперский находит... Я уже и переустановил Аваста - ничего не помогает. Очень досадно!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\logon.exe - Trojan.Win32.Vilsel.lit ( DrWEB: Win32.HLLW.Autoruner.7598, BitDefender: Trojan.Generic.2623686, AVAST4: Win32:Kryptik-DZ [Trj] )
-