1078030629 не могу убить

Printable View

15.08.2011, 01:50
Powl

1078030629 не могу убить

В процессах - 1078030629:3666788031.exe
В папке Windows файл 1078030629 размером 0.
avptool только начинает проверку, закрывается.
avz - при лечении в конце тоже вырубается, логи не успевает создать.
HijackThis.exe - при запуске сразу закрывается.
ProcessExplorer - не открывается.
Утилита autoruns.exe - не открывается.
Антивирусник НОД пишет, как то так, что не может связаться с ядром
удинственно, авз помещает что-то в карантин, что и прикрепляю.
malwarebytes - после запуска - вырубается.
Да, и это все происходит в безопасном режиме.
Что можно сделать?
15.08.2011, 01:57
Info_bot

Уважаемый(ая) [B]Powl[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.08.2011, 11:19
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
BC_DeleteFile('c:\windows\1078030629:3666788031.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

Файл [B]virusinfo_cure.zip‎[/B], который Вы прикрепили к теме загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы, а из темы удалите.

Попробуйте сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] (раздел [I]диагностика[/I] п.1-3)
16.08.2011, 00:23
Powl

скрипт выполняется, пишет, что без ошибок, но после перезагрузки - то же самое.
не знаю как, но один лог получился. Может, можно еще что-то сделать?
16.08.2011, 00:36
Techno

[quote="Powl;818623"]Может, можно еще что-то сделать?[/quote]
Конечно можно:) Мы еще и не начинали ничего делать;)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\1078030629:3666788031.exe:$DATA','');
QuarantineFile('c:\windows\1078030629:3666788031.exe','');
QuarantineFile('C:\WINDOWS\system32\AegisE5.dll','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_DeleteFile('c:\windows\1078030629:3666788031.exe:$DATA');
BC_DeleteFile('c:\windows\1078030629:3666788031.exe');
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- [URL="http://virusinfo.info/showthread.php?t=4905"]отключите восстановление системы[/URL] и попробуйте сделать все необходимые по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] (раздел [I]диагностика[/I] п.1-3)
17.08.2011, 00:38
Powl

Да, вроде помогло. Карантин выслал. Что же это было? Логи прикрепляю.
Нод пишет все равно, что нет связи с ядром. Удалил его. сейчас поставлю заново.
в сервисах еще была служба 25714140 с ссылкой на этот файл
17.08.2011, 01:10
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
17.08.2011, 09:45
Powl

Вот, прикрепляю лог. Наверное, 1 и 4 нужно удалить.
17.08.2011, 10:27
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.

Зараженные папки:
c:\documents and settings\User1\application data\FieryAds (Adware.FieryAds) -> No action taken.[/code]
18.08.2011, 10:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\1078030629:3666788031.exe - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[*] c:\\windows\\1078030629:3666788031.exe:$data - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[/LIST][/LIST]