2812051079:2021745496.exe

Printable View

19.09.2011, 17:18
alexyeyev

2812051079:2021745496.exe

В памяти висит процесс 2812051079:2021745496.exe
Утилита combofix не запускается.
Kaspesky rescue disk и drweb cureit находят и удаляют файл c:\windows\2812051079:2021745496.exe
но после перезагрузки он снова появляется, avz приблизительно на 50-60% выпадает с ошибкой
если приостановить avz приблизительно на 40% можно сохранить лог работы
и сформировать архив с файлами на карантине

В системном журнале событий появляется запись.
Имя сбойного приложения: avz.exe, версия: 4.35.0.1, отметка времени: 0x2a425e19
Имя сбойного модуля: WindowsCodecs.dll, версия: 6.1.7601.17514, отметка времени 0x4ce7ba3a
Код исключения: 0xc0000005
Смещение ошибки: 0x000f6ca9
Идентификатор сбойного процесса: 0x2f8
Время запуска сбойного приложения: 0x01cc76b81b9480d6
Путь сбойного приложения: C:\Users\administrator\Downloads\avz4\avz4\avz.exe
Путь сбойного модуля: C:\Windows\system32\WindowsCodecs.dll
Код отчета: 117a3a12-e2b1-11e0-828b-d8d3851af843
19.09.2011, 17:19
Info_bot

Уважаемый(ая) [B]alexyeyev[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.09.2011, 20:23
Шапельский Александр

Сделайте лог МВАМ и лог TDSSKiller--[URL="http://support.kaspersky.ru/faq/?qid=208639606"]http://support.kaspersky.ru/faq/?qid=208639606[/URL]
20.09.2011, 14:36
alexyeyev

MBAM установился, обновился, запустили в нем полную провернку. Через 2 сек закрылся. Повторно не запускается "отказавно в доступе к указанному устройству, пути или файлу"
TDSSKiller запустился сгенерировал лог. При попытк повторно запустить TDSSKiller ошибка как у MBAM
20.09.2011, 20:55
Шапельский Александр

Переименуйте АВЗ в pong.pif
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
DeleteFile('C:\Windows\2812051079:2021745496.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил)

Пробуйте сделать логи.
21.09.2011, 18:05
alexyeyev

авз переименовал, скрипт выполнился, система перезагрузилась, карантин выложил
процесс 2812051079:2021745496.exe в памяти остался
в авз скрипт лечения и карантина закрывает авз
скрипт сбора информации для раздела помогите отработал
21.09.2011, 19:43
Шапельский Александр

Отключите восстановление системы!

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url].
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
22.09.2011, 11:00
alexyeyev

Восстановление системы отключено.
Osam установился, лог его работы прикрепил
22.09.2011, 12:06
Шапельский Александр

Выполните следующее:
1.запустите OSAM дождитесь окончания сканирования
2.зайдите в настройки OSAM'а и нажмите на кнопку [B]"Settings"[/B] в его верхнем меню
3.измените опцию [B]"Disable objects using the driver"[/B] на вариант [B]"Always"[/B]
4.снимите галочку напротив этой строки:
[CODE]C:\Windows\2812051079:2021745496.exe[/CODE]
5.нажимаем [B]Apply[/B] затем нажимаем на [B]"Reboot now" [/B](после чего компьютер автоматически перезагрузится).
Затем выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
DeleteFile('C:\Windows\2812051079:2021745496.exe');
DeleteService('877e9ca7');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новые логи
23.09.2011, 11:58
alexyeyev

Восстановление системы отключено.
В osam манипуляции произвел, перегрузился.
Скрипт авз выполнился, карантин закачал, процесс в памяти остался.
Удается сделать только лог скрипта сбор информации для раздела помогите
23.09.2011, 13:33
Шапельский Александр

Выполните скрипт в безопасном режиме
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
StopService('877e9ca7');
SetServiceStart('877e9ca7', 4);
DeleteService('877e9ca7 ',true);
DeleteFile('c:\windows\2812051079:2021745496.exe');
BC_ImportAll;
BC_DeleteFile('c:\windows\2812051079:2021745496.exe');
BC_DeleteSvc('877e9ca7');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
24.09.2011, 11:33
thyrex

Скачайте TDSSkiller еще раз и удалите (а не пропускайте)
[QUOTE]877e9ca7 (8f2bb1827cac01aee6a16e30a1260199) C:\Windows\2812051079:2021745496.exe
Suspicious file (Hidden): C:\Windows\2812051079:2021745496.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
877e9ca7 - detected HiddenFile.Multi.Generic (1) [/QUOTE]
26.09.2011, 17:43
alexyeyev

Кажется помогло, после перезагрузки процесс в памяти не появился. Запустился и отработал combofix. Но попытка запустить скрипт лечения/карантина в AVZ приблизительно на 50% без ошибки закрывает AVZ.
26.09.2011, 18:47
thyrex

Лог ComboFix предоставьте
26.09.2011, 19:04
alexyeyev

вложил
26.09.2011, 19:10
thyrex

[CODE]c:\users\user\AppData\Roaming\1C
c:\users\user\AppData\Roaming\1C\1Cv81\1cv8.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\1cv8cmn.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\1cv8strt.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8cmn.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\1cv8.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\ibases.v8i
c:\users\user\AppData\Roaming\1C\1Cv81\v7cnv.pfl
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Новое в версии.htm
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Изменения в версии.mxl
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Измененные объекты.mxl
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.cf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.cfu
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.dt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.mft
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8upd.htm
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\Convert.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\FromStandartToProf.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\ExtProc.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\GroupProc.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ReadMe.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account7_Boss.ert
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account81_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account82_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\Схема_формата_выгрузки.html
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\СхемаФорматаВыгрузки.xml
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ПримерБезДанных.xml
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ReadMe.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade7_Boss.ert
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade81_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade82_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Transfer.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\UpdInfo.txt[/CODE]Ошибочно удаленное ComboFix восстановите [url]http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765[/url]
26.09.2011, 19:17
alexyeyev

восстановил
26.09.2011, 19:26
thyrex

Проблема решена?
28.09.2011, 12:57
alexyeyev

наконец-то удалось сделать лог лечения/карантина для раздела помогите
28.09.2011, 20:18
thyrex

Плохого не увидел

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]

Удалите OSAM
29.09.2011, 20:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\2812051079:2021745496.exe - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[/LIST][/LIST]