Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Множество хост-процессов, непонятные процессы и невозможность качать .exe файлы. (заявка № 92298)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23

    Question Множество хост-процессов, непонятные процессы и невозможность качать .exe файлы.

    Доброго времени суток.
    Примерно неделю назад заметил странные процессы в диспетчере задач (c53z.exe , guyik45hbh.exe) и большое количество svchost.exe. Запустил в безопасном режиме dr.cureit, найденные вирусы лечил\удалял, после чего перезагрузился и больше (как я думал) их небыло. Но, спустя примерно сутки, всё то, что вылечилось\удалилось вернулось оО. Компьютер стал сильно тормозить. Повторил процедуру лечения, эффекта не дало. Теперь ещё к тому же не качает абсолютно все .exe файлы.

    PS Загрузить\установить HijackThis по приведённым выше причинам не удалось.
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    лечимся так http://virusinfo.info/showthread.php?t=15927
    затем новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Вариант со здоровым пк не подошёл, т.к. и стационар заражён этими же вирусами. Благо нашёл HijackThis в архиве и смог сделать лог. Так же к "симптомам" добавились ещё два: при загрузке виндовс выскакивает 1-10 ошибок хост-процессов и уходящий неизвестно куда исходящий трафик.

    Новые логи:
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,521
    Вес репутации
    2915
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\System32\actxprxy.exe','');
     QuarantineFile('C:\eSupport\dllwinupl43\msftcore.dll','');
     QuarantineFile('C:\eSupport\dllwinupl43\msfttcp.dll','');
     QuarantineFile('c:\windows\system32\mobsync.exe','');
     DelBHO('{29FB2181-FEBD-4C7B-8451-1E4F113EE0DD}');
     QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
     QuarantineFile('C:\Windows\system32\userinit.exe','');
     QuarantineFile('C:\Windows\system32\regedit.exe','');
     QuarantineFile('C:\Windows\system32\guyik45hbh.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfХ.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfА.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfN.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfD.exe','');
     QuarantineFile('C:\Windows\svc3.exe','');
     QuarantineFile('C:\Windows\svc2.exe','');
     QuarantineFile('C:\Windows\fonts\services.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfХ.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfА.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfN.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfD.exe','');
     QuarantineFile('C:\Users\0D04~1\AppData\Local\Temp\uygkr9b.exe','');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     DeleteService('msupdate');
     QuarantineFile('C:\Windows\system32\drivers\zviavstfp7.sys','');
     QuarantineFile('c:\windows\system32\alkc666.dll','');
     QuarantineFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfttcp.dll','');
     QuarantineFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfteml.dll','');
     QuarantineFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msftcore.dll','');
     QuarantineFile('C:\Users\0D04~1\AppData\Roaming\MEDIAC~1\MSVCLC~1\msftldr.dll','');
     TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     TerminateProcessByName('c:\users\0d04~1\appdata\local\temp\sienozv.exe');
     QuarantineFile('c:\users\0d04~1\appdata\local\temp\sienozv.exe','');
     TerminateProcessByName('c:\windows\system32\guyik45hbh.exe');
     QuarantineFile('c:\windows\system32\guyik45hbh.exe','');
     TerminateProcessByName('c:\users\0d04~1\appdata\local\temp\c53z.exe');
     QuarantineFile('c:\users\0d04~1\appdata\local\temp\c53z.exe','');
     DeleteFile('c:\users\0d04~1\appdata\local\temp\c53z.exe');
     DeleteFile('c:\windows\system32\guyik45hbh.exe');
     DeleteFile('c:\users\0d04~1\appdata\local\temp\sienozv.exe');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     DeleteFile('C:\Users\0D04~1\AppData\Roaming\MEDIAC~1\MSVCLC~1\msftldr.dll');
     DeleteFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msftcore.dll');
     DeleteFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfteml.dll');
     DeleteFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfttcp.dll');
     DeleteFile('c:\windows\system32\alkc666.dll');
     DeleteFile('C:\Windows\system32\drivers\zviavstfp7.sys');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     DeleteFile('C:\Users\0D04~1\AppData\Local\Temp\uygkr9b.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','v5uvf');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','uqsyb');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','8f0ge3w');
     DeleteFile('C:\Windows\System32\eyvwyphfD.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfD');
     DeleteFile('C:\Windows\System32\eyvwyphfN.exe');
     DeleteFile('C:\Windows\System32\eyvwyphfА.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfА');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfN');
     DeleteFile('C:\Windows\System32\eyvwyphfХ.exe');
     DeleteFile('C:\Windows\System32\mctadmin.exe');
     DeleteFile('C:\Windows\fonts\services.exe');
     DeleteFile('C:\Windows\svc2.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','apps');
     DeleteFile('C:\Windows\svc3.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','NetLog3');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','NetLog3');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\dxxsnpar\Parameters','ServiceDll');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfD.exe');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfN.exe');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfА.exe');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfХ.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfХ');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfХ');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfА');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfА');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfN');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfN');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfD');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfD');
     DeleteFile('C:\Windows\system32\guyik45hbh.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','guyik45hbhx');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','guyik45hbh');
     DeleteFile('C:\Windows\system32\regedit.exe');
     DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     DeleteFile('c:\windows\system32\mobsync.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Скрипт выполнился, но пк почему-то не перезагрузился. Реакции на выбор перезагрузки в пуске ни к чему не привели. Перезагрузился "кнопкой". Результатов нет. Те же процессы, те же тормоза. К тому же через браузер автоматом открывает http://www.brenz.pl/rc/(при загрузке появляется окно что сайт опасен).
    Карантин почему-то пуст. Скачать комбофикс так же не могу.

    Новые логи:
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    попробуйте скачать отсюда и сделать лог ComboFix

  8. #7
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Ни в какую не желает качать файлы.
    http://s015.radikal.ru/i331/1011/27/856438b676c9.jpg

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    Пришлите файл avz.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

    пролечитесь так

    после лечения сделайте новый комплект логов

  10. #9
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Вариант с лайф сиди не помог. На здоровом пк записал на болванку, прогнал тут - в итоге при загрузке виндовс вылезает синий экран. Переустановил. Безрезультатно.

    avz.exe отослал.

    К тому же, начало появляться что-то.

    Новые логи:
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Файл был заражен Virus.Win32.Virut.ce
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Windows.old\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\Windows.old\Windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut4_E9C83B3EDF9141A39DA5EC05C79BBB91.exe','');
     DeleteFile('C:\Windows.old\Windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\Windows.old\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe:userini.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Базы AVZ обновите. Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Попытался выполнить скрип, но при выполнении его выскакивает ошибка приложения. Что делать - без понятия.
    Последний раз редактировалось borof; 25.11.2010 в 18:56.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Ошибка приложения или ошибка скрипта? Попробуйте еще раз полностью скопировать скрипт и выполнить его.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Теперь пишет что нет прав(!) для открытия.. - решилось перезагрузкой.

    Ошибка программы выскакивает, не скрипта. Запускаю скрипт, проходит сек. 20 и программа виснет, потом ошибка приложения.
    Последний раз редактировалось borof; 25.11.2010 в 19:58.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,521
    Вес репутации
    2915
    Запускаете от Администратора по правой кнопке мыши?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Да, от Администратора. Так же пробовал в безопасном режиме - безрезультатно.

    С переустановкой ОСи могу качать нормально .ехе файлы.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Цитата Сообщение от borof Посмотреть сообщение
    С переустановкой ОСи могу качать нормально .ехе файлы.
    поясните. Вы ОС переустановили?
    Paula rhei.
    Поддержать проект можно тут

  18. #17
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Да, переустановил (причина - пост н.9).

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Сейчас проблема наблюдается?
    Paula rhei.
    Поддержать проект можно тут

  20. #19
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    23
    Все те же, но теперь качать .ехе файлы могу. Тормоза, туча процессов не понятными именами и такое же количество хост-процессов.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Возвращаемся к сообщению #2. Пройдитесь по системе с помощью LiveCD и флэшки установите все при этом. Потом - новые логи.
    Paula rhei.
    Поддержать проект можно тут

  • Уважаемый(ая) borof, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 17.02.2011, 17:39
    2. множество процессов IEXPLORE.EXE
      От 3aiac в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.10.2010, 10:52
    3. Множество процессов IEXPLORE.EXE и OPERA.EXE
      От vitalyzolotoy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.04.2010, 19:34
    4. Множество процессов IEXPLORE.EXE и Opera.exe
      От LonelyUA в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.02.2010, 05:58
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 04:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00332 seconds with 22 queries