Показано с 1 по 14 из 14.

Winexp.exe (заявка № 79728)

  1. #1
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24

    Thumbs up Winexp.exe

    Здравствуйте! Прошу мне помочь.
    По глупости, зашел осознанно на сомнительный сайт, и скачал от туда файл. Решил проверить свой антивирус. Перед запуском проверил скачанный файл, антивирус ничего не нашел, и запустил его.
    После запуска появился процесс ( а иногда 2 и более) winexp.exe, который не возможно удалить, этот процесс запускает приложение ( в диспетчере устройств называется как "form1"). Это приложение начинает что-то скачивать и отправлять( это было видно в списке сетевых подключение в firewall`е). Что не обычно, появились своеобразные щелчки, как-буд то браузер переходит со страницы на страницу.
    Заранее благодарен.
    Ярослав.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    134
    Закройте все программы, выгрузите антивирус, фаерволл
    Код:
    O15 - Trusted Zone: http://*.croc
    Вы добавляли это в Надежные узлы в IE? Если нет -- пофиксите.

    Выполните в AVZ скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\winlogin.exe');
    TerminateProcessByName('c:\windows\winexp.exe');
    TerminateProcessByName('c:\users\yar\appdata\local\apps\2.0\9k6q9bkt.0vz\6wxhv4ye.bd8\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\curseclient.exe');
     QuarantineFile('C:\Windows\taskmsgr.exe','');
     QuarantineFile('c:\windows\winlogin.exe','');
     QuarantineFile('c:\windows\winexp.exe','');
    QuarantineFile('c:\users\yar\appdata\local\apps\2.0\9k6q9bkt.0vz\6wxhv4ye.bd8\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\curseclient.exe','');
     DeleteFile('c:\windows\winlogin.exe');
     DeleteFile('c:\windows\winexp.exe');
     DeleteFile('C:\Windows\taskmsgr.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер сам перезагрузится.
    Выполните после перезагрузки такой скрипт:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    end.
    В папке c АВЗ сохранится virus.zip.
    Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24
    Невозможно выполнить скрипт.
    После отсановки процесса winexp.exe, АВЗ зависает.
    Антивирус выключен и выгружен с фаерволом.
    В чем дело?

    Добавлено через 8 минут

    чаще всего идет остановка (3512)winlogin.exe и сразу программа зависает и закрывается.
    Последний раз редактировалось Yarrr; 30.05.2010 в 16:34. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    134
    Попробуйте его выполнить в безопасном режиме.
    Да, вопрос: Вы АВЗ запускаете по правой кнопке мыши От имени администратора?

  6. #5
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24
    Цитата Сообщение от polar_owl Посмотреть сообщение
    Попробуйте его выполнить в безопасном режиме.
    Да, вопрос: Вы АВЗ запускаете по правой кнопке мыши От имени администратора?
    Да, кончено. Даже включал совместимость с winxp(sp3) в свойствах.
    При поптке запуска в безопасном режиме, возникает такая ошибка:
    Ошибка AVZ Guard: C000035F
    И програма через 3 секунды закрывается.
    Операционная ситема : Windows7 Home Premium

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    134
    Удалите из скрипта строчку:
    Код:
    SetAVZGuardStatus(True);

  8. #7
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24
    Получилось выполнить скрипт, удалив 2 первые строки:
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    Процесс исчез, спасибо!!
    Сейчас перезалью новые логи

  9. #8
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24
    перезалил логи:
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Кроме устаревших баз AVZ, ничего необычного
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    134
    + к Thyrex.
    Из последнего лога:
    Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    В первых логах все нормально. Как у Вас так получилось?
    Желательно,конечно, увидеть логи с обновленными базами...

    Установите Acrobat Reader 9.3

    Также, если Вас не затруднит, выполните процедуру, описанную здесь:http://virusinfo.info/showthread.php?t=3519
    Предварительно очистите папку Quarantine

  12. #11
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24
    Логи с новой базой:
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    134
    Чисто.

  14. #13
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    8
    Вес репутации
    24
    Цитата Сообщение от polar_owl Посмотреть сообщение
    Чисто.
    Большое Вам спасибо!!!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,523
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\taskmsgr.exe - Trojan-Downloader.Win32.Delf.abvt ( AVAST4: Win32:Delf-NLD [Trj] )
      2. c:\windows\winexp.exe - Trojan-Clicker.Win32.Delf.dql ( AVAST4: Win32:Malware-gen )
      3. c:\windows\winlogin.exe - Trojan-Downloader.Win32.Delf.abvu ( BitDefender: DeepScan:Generic.Malware.SFYBVg.E0838CF8, AVAST4: Win32:Lapsavok [Drp] )


  • Уважаемый(ая) Yarrr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. winexp имеет вирус(sos)
      От Masha Ko в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.05.2010, 19:30
    2. Ребят помогите! файл [cut]winexp.exe
      От Guidar4eg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.04.2010, 08:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00179 seconds with 22 queries