Показано с 1 по 19 из 19.

Помогите! Не понятные вредоносные файлы: 47.exe, 666.exe.... (заявка № 83067)

  1. #1
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51

    Exclamation Помогите! Не понятные вредоносные файлы: 47.exe, 666.exe....

    Не так давно в процессах начали появляться непонятные файлы 56.exe, 47.exe. 01.exe Заметил что при загрузке нет языковой панели,(пробывал добавить, но без успеха) не переключает язык на другой. Удалял эти файлы но они всё равно появляются. Посмотрите пожалуйста, в чем дело?
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('e:\windows\system32\msvmiode.exe');          
     QuarantineFile('E:\WINDOWS\system32\zipfldr.dll','');
     QuarantineFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe','');
     QuarantineFile('E:\WINDOWS\system32\HPZipm12.exe','');
     QuarantineFile('E:\WINDOWS\Installer\878b59.msi','');
     QuarantineFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('E:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('E:\WINDOWS\system32\21.exe','');
     DeleteFile('E:\WINDOWS\system32\21.exe');
     DeleteFile('E:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('I:\autorun.inf');
     DeleteFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');     
     DeleteFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe');   
     DelAutorunByFileName('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe,explorer.exe,E:\Documents and Settings\lerich\Application Data\ltzqai.exe');   
     DelAutorunByFileName('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');                               
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(16);
     BC_Activate;
     RebootWindows(true);
    end.


    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Отпишитесь о состоянии, повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Всё выполнил, как просили. Файл quarantine.zip отослал.
    После всех этих действий Заметил:
    - нет автозагрузки программ
    - языковая панель не появилась (пробывал включить, без результата)
    - в папке E:\WINDOWS\system32 есть файлы 13.exe, 25.exe, 33.exe, 38.exe ......
    Повторил логи.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('E:\WINDOWS\system32\drivers\vdqyntaz.sys','');  
     DeleteFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe');              
     DeleteFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');                                 
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Сделайте лог Гмер.

  6. #5
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Всё выполнил, вот лог.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  7. #6
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Всё помощи можно не ждать?

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Ждать, но Вы не один, требуется время.

    Добавлено через 28 минут

    В Гмере ничего, повторите логи АВЗ.

    В карантине был Зловред Trojan.Spambot.9106 Но должен был умереть после первых двух скриптов.
    Последний раз редактировалось olejah; 14.07.2010 в 15:26. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Повторил логи. Вот.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Пофиксите в hijackthis -

    Код:
    O4 - HKLM\..\Run: [MSODESNV7] E:\WINDOWS\system32\msvmiode.exe

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('E:\WINDOWS\system32\ntlanui2.dll','');
     QuarantineFile('E:\WINDOWS\system32\zipfldr.dll','');
     DeleteFile('E:\WINDOWS\system32\msvmiode.exe');     
     DelAutorunByFileName('E:\WINDOWS\system32\msvmiode.exe');                                         
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Что с проблемой?

  11. #10
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Всё сделал, как просили. Файл отправил.
    Особых изменений не увидел.
    - непонятных файлов пока вроде Нет в папке Е:\WINDOWS\system32
    - языковая панель не появилась (не включаеться), в Панеле управления не запускается Язык и региональные стандарты
    - язык переключить не могу

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Просканировал систему. Вот лог.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
    
    Зараженные файлы:
    E:\RECYCLER\S-1-5-21-2502334832-6457063901-612788200-0519\syscr.exe (Worm.Autorun.B) -> No action taken.
    E:\WINDOWS\system32\Zsnkstm.exe (Backdoor.Bot) -> No action taken.
    Не забудьте сделать новый лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Удалил что просили. Вот лог.
    Последний раз редактировалось lerich; 29.07.2010 в 14:33.

  16. #15
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Помогите!!!

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Распакуйте архив во вложении и внесите информацию в реестр двойным кликом левой кнопкой мыши

    Языковая панель появилась? Если нет, проверьте наличие файла ctfmon.exe в папке system32
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    25
    Вес репутации
    51
    Ни чего не получилось, снес систему. Но!!!! Все равно в папке F:\WINDOWS\system32 появляются файлы 51.exe, 52.exe, 62.exe ..... При наведении на них пишет Программа-заставка (весит один такой файл 408 кб)

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    На диске F другая система?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\documents and settings\lerich\application data\ltzqai.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4488309, AVAST4: Win32:Malware-gen )
      2. e:\recycler\s-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4487015, AVAST4: Win32:Malware-gen )
      3. e:\windows\system32\msvmiode.exe - Trojan.Win32.Jorik.Tedroo.b ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4488309, AVAST4: Win32:Malware-gen )
      4. e:\windows\system32\21.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4487015, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) lerich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 28.01.2011, 09:00
    2. Скачиваются вредоносные ЕХE файлы (заявка №50199)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 25.01.2011, 21:00
    3. Вредоносные файлы восстанавливаются после удаления (заявка №28533)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 30.08.2010, 18:00
    4. Касперский не видит вирус создающий вредоносные файлы (заявка №22212)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 09.06.2010, 15:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01342 seconds with 19 queries