Показано с 1 по 20 из 20.

Вирус мгновенно изменяет антивирусные и т.п. exe-файлы (заявка № 85301)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24

    Thumbs up Вирус мгновенно изменяет антивирусные и т.п. exe-файлы

    Предистория: запущен exe-файл с вирусом. Через нек. время комп сам перегрузился, блокирована сеть. Сеть восстановлена отключением в службах msconfig "Remote Packet capture protocol V0 (experimental)" - вроде в нем проблема была (?).

    Сейчас вирус "мониторит" все диски и мгновенно изменяет все антивирусные exe-файлы, в т.ч. фаервол - outpost.exe, так, что при запуске пояляется сообщение вида "C:\..\...exe не является приложением Win32". Время изменения всех exe антивирусных файлов - текущее системное. Остальные (не антивирусные) программы работают нормально.
    Невозможно даже заменить отдельные файлы (outpost.exe, ...) или запустить AVZ (т.к. файлы мгновенно изменяются), скачать HiJackThis - при скачке exe-файла браузер сразу же "вылетает".
    Также идет постоянный обмен пакетами по сети при отключенном браузере.

    При запуске в дисп. задач немного висят подозрительные

    winupgro.exe
    agent.exe
    is-JP6A8.tmp

    и потом исчезают.

    Помогите решить проблему.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - попробуйте сделать логи таким AVZ

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Апдейт:
    Был запущен файл serial.exe с вирусом, вот его скан:

    http://www.virustotal.com/file-scan/...2ab-1277561482

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Пользуйтесь исключительно легальным ПО.
    - Пролечитесь с LiveCD от файловых вирусов.

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Файл mink.pif не запускается (ничего не происходит).
    Последний раз редактировалось Egorrr; 13.08.2010 в 13:06.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Пролечитесь с LiveCD от файловых вирусов.
    выполняйте вот эту рекомендацию

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    ОК, сейчас запущу LiveCD с диска

    Добавлено через 4 часа 10 минут

    Вручную удалил с помощью коммандера в LiveCD следующие файлы (были отмечены как подозрительные при сканировании OSAM):

    C:\Windows\system32\srnh.lto
    C:\WINDOWS\system32\wfsintwq.sys
    C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe
    C:\Documents and Settings\Egor\Application Data\m\flec006.exe

    В последней строке удалил всю папку "m" (в ней все файлы изменены в момент заражения). В результате сейчас при загрузке windows в любом режиме комп уходит в перезагрузку. Как мне запустить сейчас виндовз?
    Сканер c LiveCD после удаления указанных файлов ничего больше не нашел.
    Также появилаь папка c:\Program Files\e с кучей якобы zip-архивов программ - результат работы вируса
    Последний раз редактировалось Egorrr; 13.08.2010 в 17:34. Причина: Добавлено

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Это месть Bagle.

    Цитата Сообщение от Egorrr Посмотреть сообщение
    В результате сейчас при загрузке windows в любом режиме комп уходит в перезагрузку.
    html-лог работы утилиты OSAM заархивируйте и прикрепите к своему сообщению
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Сейчас виндовс вылетает с бсод CONFIG_LIST_FAILED 0x00000073
    (0x00000001, 0xC000017D, 0x00000002, 0xF7374BB8 )
    Лог-файл заархивировать нет возможности, вот ссылка на скачку html-файла:
    http://slil.ru/29560243

    Или вложение - необходимо изменить расширение на html (это не архив, а html файл!)

    Дак есть идея как виндовз реанимировать? Восстановить удаленные файлы?
    Она с 2006 года стоит... =)

    Никаких идей по восстановлению нет?..
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 15.08.2010 в 12:21.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Попробуйте с помощью LiveCD забраться в реестр и в ветке
    Код:
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    удалите ключи запуска
    Код:
    "DAEMON Tools Lite"	"Info soft"	"H:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    "drvsyskit"	"Info soft"	C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe
    "mule_st_key"		C:\Documents and Settings\Egor\Application Data\m\flec006.exe
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Как это сделать (открыть "regedit") в LiveCD? Что нужно запустить?
    Также хотелось бы запустить программу типа chkdsk для проверки C:\

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Архив битый. Логов нет. Переставляйте ОС, быстрее будет дело.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Rene-gad, это не архив, а html-файл, переименованный в zip

    thyrex, как я буду писать образ, если у меня из доступных програм щас LiveCD с фаерфоксом, откуда и пишу? =)
    Если только готовое взять.

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Тогда проще будет воспользоваться советом Rene-gad
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Проще восстановить систему, которой 4 года и на ней огромная куча всего

    Chkdsk нашел файл реестра "...config\software.log" (был общий кластер). Поэтому BSOD показывал ошибку (...0xC000017D...) - "не хватает места на диске".
    Теперь система загружается и все спокойно (повреждены фаервол, DrWeb и daemon как минимум), произвел сканирование AVZ и HJ.
    Но удаленный winupgro.exe при перезагрузке, естественно, появляется в
    C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe

    Какие дальнейшие действия по поиску вируса?
    Вложения Вложения
    Последний раз редактировалось Egorrr; 14.08.2010 в 01:35.

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    При запуске combofix сделал окошко с пустой ошибкой "Ошибка OK", комп перегрузился и сканер попросил скачать (включить) восстановление системы. Я отказался.
    При сканировании, некий процесс PEV.cfxxe выдал - "обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."
    Извинения за "неудобства" не приняты.

    После работы combofix начал работать брандмауэр Windows, который очень давно был отключен o.O
    Вложения Вложения
    Последний раз редактировалось Egorrr; 14.08.2010 в 01:27.

  20. #19
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Пофиксите в HiJack, если найдется
    Код:
    O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Egor\Application Data\m\flec006.exe
    Брандмауэр отключите. Файрволл, если не работает, придется переустановить

    Удалите ComboFix

    Больше плохого не видно

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Обновите JavaRE
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #20
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    24
    Спасибо, проблема решена

  • Уважаемый(ая) Egorrr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус изменяет EXE и DLL файлы (заявка №62937)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 30.03.2011, 15:00
    2. Чистая винда мгновенно заражается.
      От delfin_ в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.03.2011, 02:39
    3. Svchost.exe изменяет другие приложения
      От Katherina в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:23
    4. Explorer.EXE изменяет настройки системы.
      От darell в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.01.2008, 17:33
    5. Ответов: 0
      Последнее сообщение: 23.10.2004, 15:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00356 seconds with 22 queries