Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

J001.exe и еще куча левых процесов (заявка № 82238)

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27

    Thumbs up J001.exe и еще куча левых процесов

    Добрый день. Где-то подцепил вирус. В диспетчере задач куча левых процессов: J001.exe, 288D.exe ,BFGDC.exe, BJMYPRT.exe. Антивирус блокируется, в безопасный режим достучаться не удалось. Помогите пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com','');
     QuarantineFile('C:\WINDOWS\system32\scmasvstart.dll','');
     QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe','');
     DeleteService('eak89ih3edmo');
     DeleteService('ywauohouiyo6uo8');
     QuarantineFile('C:\WINDOWS\system32\hupyqu.exe','');
     QuarantineFile('C:\WINDOWS\system32\cifig.exe','');
     SetServiceStart('cl200961', 4);
     DeleteService('cl200961');
     QuarantineFile('c:\windows\system32\mlyipcm.exe','');
     TerminateProcessByName('c:\windows\system32\ju8hqxw5\j001.exe');
     QuarantineFile('c:\windows\system32\ju8hqxw5\j001.exe','');
     TerminateProcessByName('c:\windows\system32\xixyblvu\j001.exe');
     QuarantineFile('c:\windows\system32\xixyblvu\j001.exe','');
     TerminateProcessByName('c:\windows\system32\xlm57tld\j001.exe');
     QuarantineFile('c:\windows\system32\xlm57tld\j001.exe','');
     TerminateProcessByName('c:\windows\system32\wcetsaho\j001.exe');
     QuarantineFile('c:\windows\system32\wcetsaho\j001.exe','');
     TerminateProcessByName('c:\windows\system32\wdcfm7rn\j001.exe');
     QuarantineFile('c:\windows\system32\wdcfm7rn\j001.exe','');
     TerminateProcessByName('c:\windows\system32\jn3wrw5e\j001.exe');
     QuarantineFile('c:\windows\system32\jn3wrw5e\j001.exe','');
     TerminateProcessByName('c:\windows\system32\jx1nihje\j001.exe');
     QuarantineFile('c:\windows\system32\jx1nihje\j001.exe','');
     TerminateProcessByName('c:\windows\system32\vew7dibd\j001.exe');
     QuarantineFile('c:\windows\system32\vew7dibd\j001.exe','');
     TerminateProcessByName('c:\windows\system32\vuvqq4jb\j001.exe');
     QuarantineFile('c:\windows\system32\vuvqq4jb\j001.exe','');
     TerminateProcessByName('c:\windows\system32\usmj78io\j001.exe');
     QuarantineFile('c:\windows\system32\usmj78io\j001.exe','');
     TerminateProcessByName('c:\windows\system32\uehtckou\j001.exe');
     QuarantineFile('c:\windows\system32\uehtckou\j001.exe','');
     TerminateProcessByName('c:\windows\system32\uscyjar0\j001.exe');
     QuarantineFile('c:\windows\system32\uscyjar0\j001.exe','');
     TerminateProcessByName('c:\windows\system32\ttajc71z\j001.exe');
     QuarantineFile('c:\windows\system32\ttajc71z\j001.exe','');
     TerminateProcessByName('c:\windows\system32\z\j001.exe');
     QuarantineFile('c:\windows\system32\z\j001.exe','');
     TerminateProcessByName('c:\windows\system32\tqxyoevj\j001.exe');
     QuarantineFile('c:\windows\system32\tqxyoevj\j001.exe','');
     TerminateProcessByName('c:\windows\system32\s22iqtj5\j001.exe');
     QuarantineFile('c:\windows\system32\s22iqtj5\j001.exe','');
     TerminateProcessByName('c:\windows\system32\rs6skoyj\j001.exe');
     QuarantineFile('c:\windows\system32\rs6skoyj\j001.exe','');
     TerminateProcessByName('c:\windows\system32\rhh8wlzs\j001.exe');
     QuarantineFile('c:\windows\system32\rhh8wlzs\j001.exe','');
     TerminateProcessByName('c:\windows\system32\qqfzn5ds\j001.exe');
     QuarantineFile('c:\windows\system32\qqfzn5ds\j001.exe','');
     TerminateProcessByName('c:\windows\system32\q0qkgef2\j001.exe');
     QuarantineFile('c:\windows\system32\q0qkgef2\j001.exe','');
     TerminateProcessByName('c:\windows\system32\p0lr3ek8\j001.exe');
     QuarantineFile('c:\windows\system32\p0lr3ek8\j001.exe','');
     TerminateProcessByName('c:\windows\system32\p0trs2eo\j001.exe');
     QuarantineFile('c:\windows\system32\p0trs2eo\j001.exe','');
     TerminateProcessByName('c:\windows\system32\oarijnro\j001.exe');
     QuarantineFile('c:\windows\system32\oarijnro\j001.exe','');
     TerminateProcessByName('c:\windows\system32\os17aixz\j001.exe');
     QuarantineFile('c:\windows\system32\os17aixz\j001.exe','');
     TerminateProcessByName('c:\windows\system32\obtqwcqa\j001.exe');
     QuarantineFile('c:\windows\system32\obtqwcqa\j001.exe','');
     TerminateProcessByName('c:\windows\system32\n3bdwna8\j001.exe');
     QuarantineFile('c:\windows\system32\n3bdwna8\j001.exe','');
     TerminateProcessByName('c:\windows\system32\n0claht2\j001.exe');
     QuarantineFile('c:\windows\system32\n0claht2\j001.exe','');
     TerminateProcessByName('c:\windows\system32\nimazczd\j001.exe');
     QuarantineFile('c:\windows\system32\nimazczd\j001.exe','');
     TerminateProcessByName('c:\windows\system32\m8nqr3o8\j001.exe');
     QuarantineFile('c:\windows\system32\m8nqr3o8\j001.exe','');
     TerminateProcessByName('c:\windows\system32\meo41kc3\j001.exe');
     QuarantineFile('c:\windows\system32\meo41kc3\j001.exe','');
     TerminateProcessByName('c:\windows\system32\mwcmu17o\j001.exe');
     QuarantineFile('c:\windows\system32\mwcmu17o\j001.exe','');
     TerminateProcessByName('c:\windows\system32\ljkp0134\j001.exe');
     QuarantineFile('c:\windows\system32\ljkp0134\j001.exe','');
     TerminateProcessByName('c:\windows\system32\li13lfi1\j001.exe');
     QuarantineFile('c:\windows\system32\li13lfi1\j001.exe','');
     TerminateProcessByName('c:\windows\system32\k2s0ktjf\j001.exe');
     QuarantineFile('c:\windows\system32\k2s0ktjf\j001.exe','');
     TerminateProcessByName('c:\windows\system32\kcqrbfwf\j001.exe');
     QuarantineFile('c:\windows\system32\kcqrbfwf\j001.exe','');
     TerminateProcessByName('c:\windows\system32\kur14jha\j001.exe');
     QuarantineFile('c:\windows\system32\kur14jha\j001.exe','');
     TerminateProcessByName('c:\windows\cl200961.exe');
     QuarantineFile('c:\windows\cl200961.exe','');
     DeleteFile('c:\windows\cl200961.exe');
     DeleteFile('c:\windows\system32\kur14jha\j001.exe');
     DeleteFile('c:\windows\system32\kcqrbfwf\j001.exe');
     DeleteFile('c:\windows\system32\k2s0ktjf\j001.exe');
     DeleteFile('c:\windows\system32\li13lfi1\j001.exe');
     DeleteFile('c:\windows\system32\ljkp0134\j001.exe');
     DeleteFile('c:\windows\system32\mwcmu17o\j001.exe');
     DeleteFile('c:\windows\system32\meo41kc3\j001.exe');
     DeleteFile('c:\windows\system32\m8nqr3o8\j001.exe');
     DeleteFile('c:\windows\system32\nimazczd\j001.exe');
     DeleteFile('c:\windows\system32\n0claht2\j001.exe');
     DeleteFile('c:\windows\system32\n3bdwna8\j001.exe');
     DeleteFile('c:\windows\system32\obtqwcqa\j001.exe');
     DeleteFile('c:\windows\system32\os17aixz\j001.exe');
     DeleteFile('c:\windows\system32\oarijnro\j001.exe');
     DeleteFile('c:\windows\system32\p0trs2eo\j001.exe');
     DeleteFile('c:\windows\system32\p0lr3ek8\j001.exe');
     DeleteFile('c:\windows\system32\q0qkgef2\j001.exe');
     DeleteFile('c:\windows\system32\qqfzn5ds\j001.exe');
     DeleteFile('c:\windows\system32\rhh8wlzs\j001.exe');
     DeleteFile('c:\windows\system32\rs6skoyj\j001.exe');
     DeleteFile('c:\windows\system32\s22iqtj5\j001.exe');
     DeleteFile('c:\windows\system32\tqxyoevj\j001.exe');
     DeleteFile('c:\windows\system32\z\j001.exe');
     DeleteFile('c:\windows\system32\ttajc71z\j001.exe');
     DeleteFile('c:\windows\system32\uscyjar0\j001.exe');
     DeleteFile('c:\windows\system32\uehtckou\j001.exe');
     DeleteFile('c:\windows\system32\usmj78io\j001.exe');
     DeleteFile('c:\windows\system32\vuvqq4jb\j001.exe');
     DeleteFile('c:\windows\system32\vew7dibd\j001.exe');
     DeleteFile('c:\windows\system32\jx1nihje\j001.exe');
     DeleteFile('c:\windows\system32\jn3wrw5e\j001.exe');
     DeleteFile('c:\windows\system32\wdcfm7rn\j001.exe');
     DeleteFile('c:\windows\system32\wcetsaho\j001.exe');
     DeleteFile('c:\windows\system32\xlm57tld\j001.exe');
     DeleteFile('c:\windows\system32\xixyblvu\j001.exe');
     DeleteFile('c:\windows\system32\ju8hqxw5\j001.exe');
     DeleteFile('C:\WINDOWS\system32\cifig.exe');
     DeleteFile('C:\WINDOWS\system32\hupyqu.exe');
     DeleteFile('C:\WINDOWS\mslsrv32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\scmasvstart.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ScmSrv\Parameters','ServiceDll');
     DeleteFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com');
    DeleteFile('%windir%\Tasks\At1.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    Карантин выслал. Логи прилагаю. ComboFix запустить не удалось, пишет что nod32 запущен, хотя я его вырубил через диспетчер.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    После запуска ComboFix и нескольких нажатий ок компютер перезагрузился. У меня стоит автоматическая загрузка deamon tools при запуске windows, так вот он не запустился а выскочила ошибка.
    ---------------------------
    DAEMON Tools Lite
    ---------------------------
    Для этого приложения необходима, как минимум, Windows 2000 и SPTD 1.60 или выше.
    Отладчик ядра должен быть деактивирован.
    ---------------------------
    ОК
    ---------------------------
    Также вирус вырубил брадмауер и я не могу его запустить.

    Добавлено через 15 минут

    Еще после запуска системы через 10-20 мин. выскакивает сообщение
    ---------------------------
    svchost.exe - Ошибка приложения
    ---------------------------
    Инструкция по адресу "0x6f8916e2" обратилась к памяти по адресу "0x6f8916e2". Память не может быть "read".


    "ОК" -- завершение приложения
    "Отмена" -- отладка приложения
    ---------------------------
    ОК Отмена
    ---------------------------
    После нажатия ок или отмена интернет вырубается. Помогите пожалуйста!!!
    Последний раз редактировалось aleg; 02.07.2010 в 13:56. Причина: Добавлено

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пробуйте зайти в безопасный режим и сделать лог ComboFix из него
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    В безопастный зашел. Запустил combofix. Появилось сообщение
    ---------------------------
    Warning !!
    ---------------------------
    ComboFix has detected the following real time scanner(s) to be active:antivirus: ESET NOD32 Antivirus 4.0Antivirus and intrusion prevention programs are known to interferewith ComboFix's running. This may lead to unpredictable results orpossible machine damage.Please disable these scanners before clicking 'OK'.
    ---------------------------
    ОК
    ---------------------------

    Нажал ок, мне выдало следующие

    ---------------------------
    Warning !!
    ---------------------------
    antivirus: ESET NOD32 Antivirus 4.0The above real time scanner(s) are still active but ComboFix shallcontinue to run. Kindly note that this is at your own risk
    ---------------------------
    ОК
    ---------------------------

    Нажал ок, и ничего.
    На диске создалась папка c:\ComboFix\CF13804.cfxxe
    Подскажите что делать, может деинсталировать nod32?

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Деинсталлируйте. Потом заново поставите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    combofix пишет что у меня нет установленной консоли восстановления, предлагает установить, но я так и не смог этого сделать. Он завершает работу, потом предлагает перезагрузится, но на диске c файла combofix.txt нет, есть только папка combofix, а в ней куча файлов. Можно как то без combofix обойтись, а то у меня уже компютер колбасит, языковая панель исчезает.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Пробуйте еще раз сделать лог. Консоль восстановления можно не устанавливать. Языковую панель приведем в порядок после завершения лечения
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    Уже второй день вожусь с combofix, все перепробовал. Он вроди как делает лог, потом просит перезагрузить компютер, захожу на диск C, там две новые папки: ComboFix и Qoobox. Файла ComboFix.txt нет. Что же делать?

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    Сделал.
    Вложения Вложения
    • Тип файла: txt log.txt (83.4 Кб, 4 просмотров)
    • Тип файла: txt info.txt (18.0 Кб, 1 просмотров)

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Ограниченная\restorer32_a.exe','');
    QuarantineFile('C:\WINDOWS\system32\servises.exe','');
    DeleteFile('C:\WINDOWS\system32\servises.exe');
    QuarantineFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe','');
    DeleteFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe');
    QuarantineFile(' C:\WINDOWS\explorer.exe:userini.exe','');
    DeleteFile(' C:\WINDOWS\explorer.exe:userini.exe');
     QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторить логи AVZ и Хиджака.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    А также сделать лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    При перезагрузке по прежнему руская раскладка пропадает. Пока не вырублю процесс mlyipcm.exe интернет не работает.
    Логи сделал.
    Вложения Вложения

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Когда отключим: Восстановление системы: включено!!! Так до Нового Года биться можем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    Вчера специально смотрел, было отключено. Как включилось, сам в шоке. Отключил.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Повторите скрипт: http://virusinfo.info/showpost.php?p...0&postcount=13
    после него повторите логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    Вот что мне выдала эта програмулька http://virusinfo.info/showpost.php?p=457118&postcount=1
    Вложения Вложения

  21. #20
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    27
    Что мне удалять из всех этих файлов?

    Добавлено через 31 минуту

    Подскажите пожалуйста. Боюсь что-то лишнее грохнуть
    Последний раз редактировалось aleg; 07.07.2010 в 17:20. Причина: Добавлено

  • Уважаемый(ая) aleg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe
      От Cyber Wolf в разделе Помогите!
      Ответов: 46
      Последнее сообщение: 25.12.2010, 00:19
    2. Ali.exe J001.exe D001.exe E001.exe ....
      От goser в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.12.2010, 23:55
    3. J001.exe и его Китайские друзья
      От Aurele в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 02.03.2010, 11:52
    4. Много подозрительных процесов
      От wufer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.10.2009, 16:27
    5. 20 процесов с одним названием
      От xzxFEARxzx в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.03.2007, 06:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01651 seconds with 21 queries