Показано с 1 по 19 из 19.

Помогите! Не понятные вредоносные файлы: 47.exe, 666.exe.... (заявка № 83067)

  1. #1
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24

    Exclamation Помогите! Не понятные вредоносные файлы: 47.exe, 666.exe....

    Не так давно в процессах начали появляться непонятные файлы 56.exe, 47.exe. 01.exe Заметил что при загрузке нет языковой панели,(пробывал добавить, но без успеха) не переключает язык на другой. Удалял эти файлы но они всё равно появляются. Посмотрите пожалуйста, в чем дело?
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('e:\windows\system32\msvmiode.exe');          
     QuarantineFile('E:\WINDOWS\system32\zipfldr.dll','');
     QuarantineFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe','');
     QuarantineFile('E:\WINDOWS\system32\HPZipm12.exe','');
     QuarantineFile('E:\WINDOWS\Installer\878b59.msi','');
     QuarantineFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('E:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('E:\WINDOWS\system32\21.exe','');
     DeleteFile('E:\WINDOWS\system32\21.exe');
     DeleteFile('E:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('I:\autorun.inf');
     DeleteFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');     
     DeleteFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe');   
     DelAutorunByFileName('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe,explorer.exe,E:\Documents and Settings\lerich\Application Data\ltzqai.exe');   
     DelAutorunByFileName('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');                               
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(16);
     BC_Activate;
     RebootWindows(true);
    end.


    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Отпишитесь о состоянии, повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Всё выполнил, как просили. Файл quarantine.zip отослал.
    После всех этих действий Заметил:
    - нет автозагрузки программ
    - языковая панель не появилась (пробывал включить, без результата)
    - в папке E:\WINDOWS\system32 есть файлы 13.exe, 25.exe, 33.exe, 38.exe ......
    Повторил логи.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('E:\WINDOWS\system32\drivers\vdqyntaz.sys','');  
     DeleteFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe');              
     DeleteFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');                                 
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Сделайте лог Гмер.

  6. #5
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Всё выполнил, вот лог.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  7. #6
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Всё помощи можно не ждать?

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Ждать, но Вы не один, требуется время.

    Добавлено через 28 минут

    В Гмере ничего, повторите логи АВЗ.

    В карантине был Зловред Trojan.Spambot.9106 Но должен был умереть после первых двух скриптов.
    Последний раз редактировалось olejah; 14.07.2010 в 15:26. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Повторил логи. Вот.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Пофиксите в hijackthis -

    Код:
    O4 - HKLM\..\Run: [MSODESNV7] E:\WINDOWS\system32\msvmiode.exe

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('E:\WINDOWS\system32\ntlanui2.dll','');
     QuarantineFile('E:\WINDOWS\system32\zipfldr.dll','');
     DeleteFile('E:\WINDOWS\system32\msvmiode.exe');     
     DelAutorunByFileName('E:\WINDOWS\system32\msvmiode.exe');                                         
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Что с проблемой?

  11. #10
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Всё сделал, как просили. Файл отправил.
    Особых изменений не увидел.
    - непонятных файлов пока вроде Нет в папке Е:\WINDOWS\system32
    - языковая панель не появилась (не включаеться), в Панеле управления не запускается Язык и региональные стандарты
    - язык переключить не могу

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Просканировал систему. Вот лог.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
    
    Зараженные файлы:
    E:\RECYCLER\S-1-5-21-2502334832-6457063901-612788200-0519\syscr.exe (Worm.Autorun.B) -> No action taken.
    E:\WINDOWS\system32\Zsnkstm.exe (Backdoor.Bot) -> No action taken.
    Не забудьте сделать новый лог
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Удалил что просили. Вот лог.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  16. #15
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Помогите!!!

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Распакуйте архив во вложении и внесите информацию в реестр двойным кликом левой кнопкой мыши

    Языковая панель появилась? Если нет, проверьте наличие файла ctfmon.exe в папке system32
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    24
    Ни чего не получилось, снес систему. Но!!!! Все равно в папке F:\WINDOWS\system32 появляются файлы 51.exe, 52.exe, 62.exe ..... При наведении на них пишет Программа-заставка (весит один такой файл 408 кб)

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    На диске F другая система?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\documents and settings\lerich\application data\ltzqai.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4488309, AVAST4: Win32:Malware-gen )
      2. e:\recycler\s-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4487015, AVAST4: Win32:Malware-gen )
      3. e:\windows\system32\msvmiode.exe - Trojan.Win32.Jorik.Tedroo.b ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4488309, AVAST4: Win32:Malware-gen )
      4. e:\windows\system32\21.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4487015, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) lerich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 0
      Последнее сообщение: 10.07.2012, 23:50
    2. Ответов: 1
      Последнее сообщение: 28.01.2011, 09:00
    3. Скачиваются вредоносные ЕХE файлы (заявка №50199)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 25.01.2011, 21:00
    4. Вредоносные файлы восстанавливаются после удаления (заявка №28533)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 30.08.2010, 18:00
    5. Касперский не видит вирус создающий вредоносные файлы (заявка №22212)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 09.06.2010, 15:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00539 seconds with 21 queries