Показано с 1 по 20 из 20.

ali.exe и ярлык IE (заявка № 78851)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24

    Thumbs down ali.exe и ярлык IE

    Здравствуйте.
    Комп был завирусован до жути. Очень много вирусов троянов бэкдоров.
    Чистился с Live usb сканером Dr.web"ом, AVZ, VRT касперского, Malwarebytes Anti-Malware c последними обновлениями.
    После был установлен KAV 2010 и запущен в максимальном режиме. Так эта тварь всё равно живёт и здравствует.
    При открытии любого браузера открывается окно www.dianxin.cn домашняя страница google.ru.
    На рабочем столе есть ярлык IE (не удаляется)
    При нажатии выходит список вида:
    ??(R)
    ????(H)
    ??(D)
    _____
    Создать ярлык.
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 25.05.2010 в 17:49.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\ali.exe');
     QuarantineFile('c:\windows\ali.exe','');
     DeleteFile('c:\windows\ali.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    отправил
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Антивирус отключите. Выполните скрипт еще раз. И снова сделайте логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Антивирус отключён.
    AVZ пишет:
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Где новые логи?

    Сделайте еще такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    1
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Скачайте OTM by OldTimer и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код:
    :Processes
    explorer.exe
    
    :Services
    
    :Files
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    
    :Reg
    
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), заархивируйте его и прикрепите к следующему сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    2
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Что сейчас с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Живёт и здравствует. При подключении кабеля пытается отправить посредством IE чтото в инет.
    OTM не особо помог.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код:
    :Processes
    explorer.exe
    ali.exe
    
    :Services
    
    :Files
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    
    :Reg
    
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), заархивируйте его и прикрепите к следующему сообщению.

    Изменения есть?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    На рабочем столе восстановился ярлык нормального IE.
    IE на www.dianxin.cn теперь не пытается выйти
    Но Firefox и Google Chrome выходят.
    Процесс ali.exe висит в памяти
    Вложения Вложения
    Последний раз редактировалось inskra; 21.05.2010 в 09:52.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Сделайте еще раз лог ComboFix и стандартные логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    да чтож за зверь та такой лютый.
    Вложения Вложения

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Утилиту KLAntiFunLove от Лаборатории Касперского Вы загружали?

    Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
    Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
    Код:
    Drivers to disable:
    
    Drivers to delete:
    
    Files to delete:
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    
    Folders to delete:
    
    Registry values to delete:
    
    Registry keys to delete:
    Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.

    Нажмите Execute и подтвердите, нажав Yes

    Avenger автоматически выполнит следующее:
    * Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
    * При перезагрузке кратковременно появится черное окно, это нормально
    * После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
    * Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

    c:\avenger.txt прикрепите к следующему сообщению.

    Добавлено через 4 часа 24 минуты

    Сделайте еще лог gmer
    Последний раз редактировалось thyrex; 22.05.2010 в 01:17. Причина: Добавлено
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Перепробывал все утилиты касперского, ничего не нашлось.
    Также уже перепробывал пачку анти spyware и rootkit утилит, файлы находятся и удаляются в system32. Но по логам они в 0 байт.
    ali.exe живёт и здравствует.
    Вложения Вложения
    • Тип файла: txt avenger.txt (2.2 Кб, 10 просмотров)
    • Тип файла: log gmer.log (31.9 Кб, 12 просмотров)

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    У Вас bootkit
    Нужно загрузиться с консоли восстановления и выполнить команду fixmbr
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    24
    Процесс ali.exe больше не закпускается.
    А как быть с файлами по 0 байт находящиеся в процессе system?
    Код:
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    Пробывал удалить avengerom по скрипту выше. Безрезультатно.
    В Google Chrome и Firefox всё равно открывается dianxin.cn

    Вообщем систему переставляю, больше клиент не может ждать.
    Вложения Вложения

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,520
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) inskra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Не могу удалить ярлык IE
      От aya в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.03.2011, 12:23
    2. как удалить не рабочий ярлык ?
      От shidorin в разделе Microsoft Windows
      Ответов: 8
      Последнее сообщение: 24.10.2010, 23:03
    3. Ответов: 3
      Последнее сообщение: 17.08.2010, 22:36
    4. Некорректно отображается ярлык
      От KOPERATOR в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 24.07.2009, 22:34
    5. Неизвестный мне ярлык
      От Stec в разделе Windows для опытных пользователей
      Ответов: 8
      Последнее сообщение: 27.10.2008, 19:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00382 seconds with 21 queries