-
Junior Member
- Вес репутации
- 51
Помогите! Не понятные вредоносные файлы: 47.exe, 666.exe....
Не так давно в процессах начали появляться непонятные файлы 56.exe, 47.exe. 01.exe Заметил что при загрузке нет языковой панели,(пробывал добавить, но без успеха) не переключает язык на другой. Удалял эти файлы но они всё равно появляются. Посмотрите пожалуйста, в чем дело?
Последний раз редактировалось lerich; 29.07.2010 в 14:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('e:\windows\system32\msvmiode.exe');
QuarantineFile('E:\WINDOWS\system32\zipfldr.dll','');
QuarantineFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe','');
QuarantineFile('E:\WINDOWS\system32\HPZipm12.exe','');
QuarantineFile('E:\WINDOWS\Installer\878b59.msi','');
QuarantineFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('E:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('E:\WINDOWS\system32\21.exe','');
DeleteFile('E:\WINDOWS\system32\21.exe');
DeleteFile('E:\WINDOWS\system32\msvmiode.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');
DeleteFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe');
DelAutorunByFileName('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe,explorer.exe,E:\Documents and Settings\lerich\Application Data\ltzqai.exe');
DelAutorunByFileName('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Отпишитесь о состоянии, повторите логи.
-
-
Junior Member
- Вес репутации
- 51
Всё выполнил, как просили. Файл quarantine.zip отослал.
После всех этих действий Заметил:
- нет автозагрузки программ
- языковая панель не появилась (пробывал включить, без результата)
- в папке E:\WINDOWS\system32 есть файлы 13.exe, 25.exe, 33.exe, 38.exe ......
Повторил логи.
Последний раз редактировалось lerich; 29.07.2010 в 14:33.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\WINDOWS\system32\drivers\vdqyntaz.sys','');
DeleteFile('E:\RECYCLER\S-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe');
DeleteFile('E:\Documents and Settings\lerich\Application Data\ltzqai.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Сделайте лог Гмер.
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось lerich; 29.07.2010 в 14:33.
-
Junior Member
- Вес репутации
- 51
Всё помощи можно не ждать?
-
Ждать, но Вы не один, требуется время.
Добавлено через 28 минут
В Гмере ничего, повторите логи АВЗ.
В карантине был Зловред Trojan.Spambot.9106 Но должен был умереть после первых двух скриптов.
Последний раз редактировалось olejah; 14.07.2010 в 15:26.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось lerich; 29.07.2010 в 14:33.
-
Пофиксите в hijackthis -
Код:
O4 - HKLM\..\Run: [MSODESNV7] E:\WINDOWS\system32\msvmiode.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\WINDOWS\system32\ntlanui2.dll','');
QuarantineFile('E:\WINDOWS\system32\zipfldr.dll','');
DeleteFile('E:\WINDOWS\system32\msvmiode.exe');
DelAutorunByFileName('E:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Всё сделал, как просили. Файл отправил.
Особых изменений не увидел.
- непонятных файлов пока вроде Нет в папке Е:\WINDOWS\system32
- языковая панель не появилась (не включаеться), в Панеле управления не запускается Язык и региональные стандарты
- язык переключить не могу
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Просканировал систему. Вот лог.
Последний раз редактировалось lerich; 29.07.2010 в 14:33.
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
Зараженные файлы:
E:\RECYCLER\S-1-5-21-2502334832-6457063901-612788200-0519\syscr.exe (Worm.Autorun.B) -> No action taken.
E:\WINDOWS\system32\Zsnkstm.exe (Backdoor.Bot) -> No action taken.
Не забудьте сделать новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалил что просили. Вот лог.
Последний раз редактировалось lerich; 29.07.2010 в 14:33.
-
Junior Member
- Вес репутации
- 51
-
Распакуйте архив во вложении и внесите информацию в реестр двойным кликом левой кнопкой мыши
Языковая панель появилась? Если нет, проверьте наличие файла ctfmon.exe в папке system32
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ни чего не получилось, снес систему. Но!!!! Все равно в папке F:\WINDOWS\system32 появляются файлы 51.exe, 52.exe, 62.exe ..... При наведении на них пишет Программа-заставка (весит один такой файл 408 кб)
-
На диске F другая система?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- e:\documents and settings\lerich\application data\ltzqai.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4488309, AVAST4: Win32:Malware-gen )
- e:\recycler\s-1-5-21-0750002238-6847290269-818560638-3078\syscr.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4487015, AVAST4: Win32:Malware-gen )
- e:\windows\system32\msvmiode.exe - Trojan.Win32.Jorik.Tedroo.b ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4488309, AVAST4: Win32:Malware-gen )
- e:\windows\system32\21.exe - Trojan-Dropper.Win32.Delf.fzp ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4487015, AVAST4: Win32:Malware-gen )
-