-
Junior Member
- Вес репутации
- 51
Winexp.exe
Здравствуйте! Прошу мне помочь.
По глупости, зашел осознанно на сомнительный сайт, и скачал от туда файл. Решил проверить свой антивирус. Перед запуском проверил скачанный файл, антивирус ничего не нашел, и запустил его.
После запуска появился процесс ( а иногда 2 и более) winexp.exe, который не возможно удалить, этот процесс запускает приложение ( в диспетчере устройств называется как "form1"). Это приложение начинает что-то скачивать и отправлять( это было видно в списке сетевых подключение в firewall`е). Что не обычно, появились своеобразные щелчки, как-буд то браузер переходит со страницы на страницу.
Заранее благодарен.
Ярослав.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы, выгрузите антивирус, фаерволл
Код:
O15 - Trusted Zone: http://*.croc
Вы добавляли это в Надежные узлы в IE? Если нет -- пофиксите.
Выполните в AVZ скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\winlogin.exe');
TerminateProcessByName('c:\windows\winexp.exe');
TerminateProcessByName('c:\users\yar\appdata\local\apps\2.0\9k6q9bkt.0vz\6wxhv4ye.bd8\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\curseclient.exe');
QuarantineFile('C:\Windows\taskmsgr.exe','');
QuarantineFile('c:\windows\winlogin.exe','');
QuarantineFile('c:\windows\winexp.exe','');
QuarantineFile('c:\users\yar\appdata\local\apps\2.0\9k6q9bkt.0vz\6wxhv4ye.bd8\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\curseclient.exe','');
DeleteFile('c:\windows\winlogin.exe');
DeleteFile('c:\windows\winexp.exe');
DeleteFile('C:\Windows\taskmsgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 51
Невозможно выполнить скрипт.
После отсановки процесса winexp.exe, АВЗ зависает.
Антивирус выключен и выгружен с фаерволом.
В чем дело?
Добавлено через 8 минут
чаще всего идет остановка (3512)winlogin.exe и сразу программа зависает и закрывается.
Последний раз редактировалось Yarrr; 30.05.2010 в 16:34.
Причина: Добавлено
-
Попробуйте его выполнить в безопасном режиме.
Да, вопрос: Вы АВЗ запускаете по правой кнопке мыши От имени администратора?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
polar_owl
Попробуйте его выполнить в безопасном режиме.
Да, вопрос: Вы АВЗ запускаете по правой кнопке мыши От имени администратора?
Да, кончено. Даже включал совместимость с winxp(sp3) в свойствах.
При поптке запуска в безопасном режиме, возникает такая ошибка:
Ошибка AVZ Guard: C000035F
И програма через 3 секунды закрывается.
Операционная ситема : Windows7 Home Premium
-
Удалите из скрипта строчку:
Код:
SetAVZGuardStatus(True);
-
-
Junior Member
- Вес репутации
- 51
Получилось выполнить скрипт, удалив 2 первые строки:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Процесс исчез, спасибо!!
Сейчас перезалью новые логи
-
Junior Member
- Вес репутации
- 51
-
Кроме устаревших баз AVZ, ничего необычного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
+ к Thyrex.
Из последнего лога:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
В первых логах все нормально. Как у Вас так получилось?
Желательно,конечно, увидеть логи с обновленными базами...
Установите Acrobat Reader 9.3
Также, если Вас не затруднит, выполните процедуру, описанную здесь:http://virusinfo.info/showthread.php?t=3519
Предварительно очистите папку Quarantine
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
polar_owl
Чисто.
Большое Вам спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\taskmsgr.exe - Trojan-Downloader.Win32.Delf.abvt ( AVAST4: Win32:Delf-NLD [Trj] )
- c:\windows\winexp.exe - Trojan-Clicker.Win32.Delf.dql ( AVAST4: Win32:Malware-gen )
- c:\windows\winlogin.exe - Trojan-Downloader.Win32.Delf.abvu ( BitDefender: DeepScan:Generic.Malware.SFYBVg.E0838CF8, AVAST4: Win32:Lapsavok [Drp] )
-