Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Множество хост-процессов, непонятные процессы и невозможность качать .exe файлы. (заявка № 92298)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49

    Question Множество хост-процессов, непонятные процессы и невозможность качать .exe файлы.

    Доброго времени суток.
    Примерно неделю назад заметил странные процессы в диспетчере задач (c53z.exe , guyik45hbh.exe) и большое количество svchost.exe. Запустил в безопасном режиме dr.cureit, найденные вирусы лечил\удалял, после чего перезагрузился и больше (как я думал) их небыло. Но, спустя примерно сутки, всё то, что вылечилось\удалилось вернулось оО. Компьютер стал сильно тормозить. Повторил процедуру лечения, эффекта не дало. Теперь ещё к тому же не качает абсолютно все .exe файлы.

    PS Загрузить\установить HijackThis по приведённым выше причинам не удалось.
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    лечимся так http://virusinfo.info/showthread.php?t=15927
    затем новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Вариант со здоровым пк не подошёл, т.к. и стационар заражён этими же вирусами. Благо нашёл HijackThis в архиве и смог сделать лог. Так же к "симптомам" добавились ещё два: при загрузке виндовс выскакивает 1-10 ошибок хост-процессов и уходящий неизвестно куда исходящий трафик.

    Новые логи:
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\System32\actxprxy.exe','');
     QuarantineFile('C:\eSupport\dllwinupl43\msftcore.dll','');
     QuarantineFile('C:\eSupport\dllwinupl43\msfttcp.dll','');
     QuarantineFile('c:\windows\system32\mobsync.exe','');
     DelBHO('{29FB2181-FEBD-4C7B-8451-1E4F113EE0DD}');
     QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
     QuarantineFile('C:\Windows\system32\userinit.exe','');
     QuarantineFile('C:\Windows\system32\regedit.exe','');
     QuarantineFile('C:\Windows\system32\guyik45hbh.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfХ.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfА.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfN.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\eyvwyphfD.exe','');
     QuarantineFile('C:\Windows\svc3.exe','');
     QuarantineFile('C:\Windows\svc2.exe','');
     QuarantineFile('C:\Windows\fonts\services.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfХ.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfА.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfN.exe','');
     QuarantineFile('C:\Windows\System32\eyvwyphfD.exe','');
     QuarantineFile('C:\Users\0D04~1\AppData\Local\Temp\uygkr9b.exe','');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     DeleteService('msupdate');
     QuarantineFile('C:\Windows\system32\drivers\zviavstfp7.sys','');
     QuarantineFile('c:\windows\system32\alkc666.dll','');
     QuarantineFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfttcp.dll','');
     QuarantineFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfteml.dll','');
     QuarantineFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msftcore.dll','');
     QuarantineFile('C:\Users\0D04~1\AppData\Roaming\MEDIAC~1\MSVCLC~1\msftldr.dll','');
     TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     TerminateProcessByName('c:\users\0d04~1\appdata\local\temp\sienozv.exe');
     QuarantineFile('c:\users\0d04~1\appdata\local\temp\sienozv.exe','');
     TerminateProcessByName('c:\windows\system32\guyik45hbh.exe');
     QuarantineFile('c:\windows\system32\guyik45hbh.exe','');
     TerminateProcessByName('c:\users\0d04~1\appdata\local\temp\c53z.exe');
     QuarantineFile('c:\users\0d04~1\appdata\local\temp\c53z.exe','');
     DeleteFile('c:\users\0d04~1\appdata\local\temp\c53z.exe');
     DeleteFile('c:\windows\system32\guyik45hbh.exe');
     DeleteFile('c:\users\0d04~1\appdata\local\temp\sienozv.exe');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     DeleteFile('C:\Users\0D04~1\AppData\Roaming\MEDIAC~1\MSVCLC~1\msftldr.dll');
     DeleteFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msftcore.dll');
     DeleteFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfteml.dll');
     DeleteFile('C:\Users\Анна\AppData\Roaming\Media Center Programs\msvclcrt45\msfttcp.dll');
     DeleteFile('c:\windows\system32\alkc666.dll');
     DeleteFile('C:\Windows\system32\drivers\zviavstfp7.sys');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     DeleteFile('C:\Users\0D04~1\AppData\Local\Temp\uygkr9b.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','v5uvf');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','uqsyb');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','8f0ge3w');
     DeleteFile('C:\Windows\System32\eyvwyphfD.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfD');
     DeleteFile('C:\Windows\System32\eyvwyphfN.exe');
     DeleteFile('C:\Windows\System32\eyvwyphfА.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfА');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfN');
     DeleteFile('C:\Windows\System32\eyvwyphfХ.exe');
     DeleteFile('C:\Windows\System32\mctadmin.exe');
     DeleteFile('C:\Windows\fonts\services.exe');
     DeleteFile('C:\Windows\svc2.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','apps');
     DeleteFile('C:\Windows\svc3.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','NetLog3');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','NetLog3');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\dxxsnpar\Parameters','ServiceDll');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfD.exe');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfN.exe');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfА.exe');
     DeleteFile('C:\Windows\system32\config\systemprofile\eyvwyphfХ.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfХ');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfХ');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfА');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfА');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfN');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfN');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfD');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','eyvwyphfD');
     DeleteFile('C:\Windows\system32\guyik45hbh.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','guyik45hbhx');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','guyik45hbh');
     DeleteFile('C:\Windows\system32\regedit.exe');
     DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     DeleteFile('c:\windows\system32\mobsync.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Скрипт выполнился, но пк почему-то не перезагрузился. Реакции на выбор перезагрузки в пуске ни к чему не привели. Перезагрузился "кнопкой". Результатов нет. Те же процессы, те же тормоза. К тому же через браузер автоматом открывает http://www.brenz.pl/rc/(при загрузке появляется окно что сайт опасен).
    Карантин почему-то пуст. Скачать комбофикс так же не могу.

    Новые логи:
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    попробуйте скачать отсюда и сделать лог ComboFix

  8. #7
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Ни в какую не желает качать файлы.
    http://s015.radikal.ru/i331/1011/27/856438b676c9.jpg

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    Пришлите файл avz.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

    пролечитесь так

    после лечения сделайте новый комплект логов

  10. #9
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Вариант с лайф сиди не помог. На здоровом пк записал на болванку, прогнал тут - в итоге при загрузке виндовс вылезает синий экран. Переустановил. Безрезультатно.

    avz.exe отослал.

    К тому же, начало появляться что-то.

    Новые логи:
    Последний раз редактировалось borof; 24.02.2011 в 22:21.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Файл был заражен Virus.Win32.Virut.ce
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Windows.old\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\Windows.old\Windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut4_E9C83B3EDF9141A39DA5EC05C79BBB91.exe','');
     DeleteFile('C:\Windows.old\Windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\Windows.old\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe:userini.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Базы AVZ обновите. Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Попытался выполнить скрип, но при выполнении его выскакивает ошибка приложения. Что делать - без понятия.
    Последний раз редактировалось borof; 25.11.2010 в 18:56.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Ошибка приложения или ошибка скрипта? Попробуйте еще раз полностью скопировать скрипт и выполнить его.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Теперь пишет что нет прав(!) для открытия.. - решилось перезагрузкой.

    Ошибка программы выскакивает, не скрипта. Запускаю скрипт, проходит сек. 20 и программа виснет, потом ошибка приложения.
    Последний раз редактировалось borof; 25.11.2010 в 19:58.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Запускаете от Администратора по правой кнопке мыши?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Да, от Администратора. Так же пробовал в безопасном режиме - безрезультатно.

    С переустановкой ОСи могу качать нормально .ехе файлы.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Цитата Сообщение от borof Посмотреть сообщение
    С переустановкой ОСи могу качать нормально .ехе файлы.
    поясните. Вы ОС переустановили?
    Paula rhei.
    Поддержать проект можно тут

  18. #17
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Да, переустановил (причина - пост н.9).

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сейчас проблема наблюдается?
    Paula rhei.
    Поддержать проект можно тут

  20. #19
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    18
    Вес репутации
    49
    Все те же, но теперь качать .ехе файлы могу. Тормоза, туча процессов не понятными именами и такое же количество хост-процессов.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Возвращаемся к сообщению #2. Пройдитесь по системе с помощью LiveCD и флэшки установите все при этом. Потом - новые логи.
    Paula rhei.
    Поддержать проект можно тут

  • Уважаемый(ая) borof, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 17.02.2011, 17:39
    2. множество процессов IEXPLORE.EXE
      От 3aiac в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.10.2010, 10:52
    3. Множество процессов IEXPLORE.EXE и OPERA.EXE
      От vitalyzolotoy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.04.2010, 19:34
    4. Множество процессов IEXPLORE.EXE и Opera.exe
      От LonelyUA в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.02.2010, 05:58
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 04:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00241 seconds with 17 queries