Точно есть проблема с autorun.iea, есть подозрение на загрузчик какой-либо.
Printable View
Точно есть проблема с autorun.iea, есть подозрение на загрузчик какой-либо.
Уважаемый(ая) [B]SSSDDD![/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Знакома ли Вам?
[QUOTE]C:\Program Files (x86)\Smartbyte\SmartRewriterPro\Smartrewriter.exe - Gen:Variant.Buzy.939 (BitDefender )[/QUOTE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
QuarantineFile('C:\Program Files (x86)\Smartbyte\SmartRewriterPro\Smartrewriter.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Доброго времени суток, сделано
Да, программа знакома, это мусор. Можно, даже нужно удалить
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Как то так
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
QuarantineFile('C:\Users\Public\Public.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
AppInit_DLLs-x32: ,C:\Windows\Jaksta\AC\x86\jaudcap.dll => No File
SearchScopes: HKU\S-1-5-21-3515258904-3745175683-2922939989-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3324774&octid=EB_ORIGINAL_CTID&ISID=MD8970B15-AF8E-43AA-A1D6-C4614E73DC19&SearchSource=58&CUI=&UM=6&UP=SP90E59B30-C4B1-4AC2-AA9D-BFB2B5C50AF9&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-3515258904-3745175683-2922939989-1005 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3324774&octid=EB_ORIGINAL_CTID&ISID=MD8970B15-AF8E-43AA-A1D6-C4614E73DC19&SearchSource=58&CUI=&UM=6&UP=SP90E59B30-C4B1-4AC2-AA9D-BFB2B5C50AF9&q={searchTerms}&SSPV=
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1211151.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [No File]
FF Plugin HKU\S-1-5-21-3515258904-3745175683-2922939989-1000: @acestream.net/acestreamplugin,version=2.1.10.2 -> C:\Users\Удачный\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
FF Plugin HKU\S-1-5-21-3515258904-3745175683-2922939989-1000: @acestream.net/acestreamplugin,version=2.2.4.1-next -> C:\Users\Удачный\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
2014-04-06 21:02 - 2014-04-06 21:02 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
C:\Users\Public\Public.exe
FirewallRules: [TCP Query User{C6ED9F02-C9B3-455B-8A0D-7DCEF6E5D604}C:\users\удачный\appdata\local\temp\joi521d.tmp\join.me.exe] => (Block) C:\users\удачный\appdata\local\temp\joi521d.tmp\join.me.exe
FirewallRules: [UDP Query User{065372EE-1A19-4B24-9B49-CF437F8BF07A}C:\users\удачный\appdata\local\temp\joi521d.tmp\join.me.exe] => (Block) C:\users\удачный\appdata\local\temp\joi521d.tmp\join.me.exe
FirewallRules: [TCP Query User{3C1D16B7-ADFB-4304-B145-031B4513510F}C:\users\удачный\appdata\local\temp\joi134d.tmp\join.me.exe] => (Allow) C:\users\удачный\appdata\local\temp\joi134d.tmp\join.me.exe
FirewallRules: [UDP Query User{7E93E08A-944E-4043-9635-79669CB2A72F}C:\users\удачный\appdata\local\temp\joi134d.tmp\join.me.exe] => (Allow) C:\users\удачный\appdata\local\temp\joi134d.tmp\join.me.exe
FirewallRules: [{3768ECC0-68C1-4074-ACAF-37115ECD48FA}] => (Block) C:\users\удачный\appdata\local\temp\joi134d.tmp\join.me.exe
FirewallRules: [{511840C2-C5EE-46A4-BAA4-21BFBFB27A38}] => (Block) C:\users\удачный\appdata\local\temp\joi134d.tmp\join.me.exe
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Тык
Могли бы заархивировать файл c паролем virus(только не запускайте его), так как по каким-то причинам не добавился в карантин:
[CODE]C:\FRST\C\Users\Public\Public.exe[/CODE]
P.S.Из каталога C:\FRST ничего не удаляйте, так как это резервная копия проделанных фиксов FRST.
Проблема в том что Касперский без разрешения съел этот файлик, пометил как autorun.iea при попытке отослать сейчас.
Но, в той же дериктории есть архив Public.rar. Думаю они как то связаны, отправил вам его через скопанованный скрипт AVZ и конкретно этот файлик в безымянном архиве
Ну в Public.rar нет ничего вредоносного, не рекомендуется отправлять в карантин, то что не требуется (к примеру архив с документами).
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
что с проблемой?
Такое уже бывало, каспер находил. Но все равно позже заново находил этот авторан. Любого доступа к компьютера кроме интеренета нет, флешки или локальная сеть не используются.
Так же создаются автоматом эти rar файлы в папка. Public.rar Pictures.rar Videos.rar в каталогах. Удаляя их вручную, сами создаются. Что это такое? не подскажете?
Неизвестно что с проблемой пока) Ближе к вечеру напишу, когда доберусь до компьютера
Странное поведение.
Сами устанавливали и используете ли?
[CODE]Ace Stream Media 2.2.4.1-next (HKU\S-1-5-21-3515258904-3745175683-2922939989-1000\...\AceStream) (Version: 2.2.4.1-next - Ace Stream Media) <==== ATTENTION
Ace Stream Media 2.2.4.1-next (HKU\S-1-5-21-3515258904-3745175683-2922939989-1005\...\AceStream) (Version: 2.2.4.1-next - Ace Stream Media) <==== ATTENTION[/CODE]
Сами устанавливали PokerStars
Знакома ли Вам в планировщике задач следующая задача?
[CODE]Task: {EE590D4B-54B1-466C-9381-387EC215FEEE} - System32\Tasks\{47B4F373-002D-4C05-9FF1-C390CF068287} => pcalua.exe -a "E:\WIN8\10. TouchPad\Setup.exe" -d "E:\WIN8\10. TouchPad"[/CODE]
Понаблюдайте, если проблема будет воспроизводиться в дальнейшем.
По первым двум пунктам да, но ace steam можно спокойно выкидывать.
По третьему точно ничего такого не было, и не знакомо это
[QUOTE=SSSDDD!;1360061]
По третьему точно ничего такого не было, и не знакомо это[/QUOTE]
Если уверены, то выполните следующее:
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Task: {EE590D4B-54B1-466C-9381-387EC215FEEE} - System32\Tasks\{47B4F373-002D-4C05-9FF1-C390CF068287} => pcalua.exe -a "E:\WIN8\10. TouchPad\Setup.exe" -d "E:\WIN8\10. TouchPad"
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]