Показано с 1 по 13 из 13.

Не грузится IE, подозрительные процессы (заявка № 100844)

  1. #1
    Junior Member Репутация
    Регистрация
    14.04.2011
    Сообщений
    8
    Вес репутации
    25

    Exclamation Не грузится IE, подозрительные процессы

    Сначала перестал грузиться ИЕ, заметил, что процесс создается, потом создается второй iexplore.exe размером 60 Кб, после которого первый исчезает.
    Проверил все КуреИтом, нашел море Win32.Krap.hr (если память не изменяет) + единичные какие-то вещи. Полечил.
    Теперь куреИт ничего не находит, но проблема осталась:
    1. ИЕ не грузится
    2. море странных процессов (с набором символов в описании, левые svchost'ы в др. папке, еще бывают процессы с похожими названиями), ручное убийство которых (+самих файликов) делу не помогает.

    Прошу экспертной помощи.

    Да, Ось - Винда 7.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\mswpvide.exe');
     ClearQuarantineEx(true);
     QuarantineFile('C:\Windows\scvhoss.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('c:\windows\system32\mswpvide.exe','');
     DeleteFile('c:\windows\system32\mswpvide.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('C:\Windows\scvhoss.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemIn_1');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Информацию о загрузке приложите здесь.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    14.04.2011
    Сообщений
    8
    Вес репутации
    25
    Все сделал.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Неправильный файл там приложили. Приложите тот,который указан в первом сообщении темы.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    14.04.2011
    Сообщений
    8
    Вес репутации
    25
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Неправильный файл там приложили. Приложите тот,который указан в первом сообщении темы.
    Мой мозг сломан. Перечитал несколько раз Ваш постинг, но так и не понял.

    Первое сообщение темы - мое, там вроде нет указания на файл.
    Во-втором сообщении (первом от вас) все вроде конкретно, сделал все так:
    1. Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Информацию о загрузке приложите здесь.

    2. Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Где я напутал?
    Какой файл и куда надо выложить?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    http://virusinfo.info/showthread.php?t=3519
    4. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    Его там надо было загрузить, а вы карантин загрузили.
    Извиняюсь, если запутал вас.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    14.04.2011
    Сообщений
    8
    Вес репутации
    25
    Спасибо, пояснили. Теперь выложил то, что надо

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    По логам подозрительного не обнаружил.
    По загруженному там архиву тоже.

    Что сейчас с проблемой?

    PS для Windows 7 вышел SP1, рекомендую установить:
    http://www.microsoft.com/downloads/r...b-3a9b77cdfdda
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    14.04.2011
    Сообщений
    8
    Вес репутации
    25
    Проблема вроде ушла
    1. IE грузится
    2. особо подозрительных процессов вроде нет.

    Спасибо огромное за помощь!
    А что в карантине было? Win32.Krap.hr? И почему куреИт не справился?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    C:\Program Files\Internet Explorer\setupapi.dll - Trojan.Win32.Zapchast.fev
    c:\windows\system32\mswpvide.exe - Trojan.Win32.Antavmu.lcb

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    14.04.2011
    Сообщений
    8
    Вес репутации
    25
    Вот лог.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Удалите в МВАМ только указанные строки
    Код:
    Заражённые параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Agent) -> Value: HKCU -> No action taken.
    
    Заражённые файлы:
    c:\Windows\Temp\5D31.tmp (Spyware.Passwords.XGen) -> No action taken.
    d:\__delete!!\__viruses!\A621.tmp (Spyware.Passwords.XGen) -> No action taken.
    d:\__delete!!\__viruses!\A64F.tmp (Spyware.Passwords.XGen) -> No action taken.
    c:\Users\sam-zaharov.ana\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> No action taken.
    Смените все пароли
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.fev ( DrWEB: Trojan.WinSpy.1013, BitDefender: Gen:Variant.Buzy.1635, AVAST4: Win32:WinSpy-HD [Trj] )
      2. c:\\windows\\system32\\mswpvide.exe - Trojan.Win32.Antavmu.lcb ( DrWEB: Trojan.RDPReset, BitDefender: Gen:Variant.Kazy.19061, AVAST4: Win32:MalOb-IJ [Cryp] )


  • Уважаемый(ая) Brainstorm13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительные процессы
      От Robin-333 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.11.2011, 19:38
    2. Подозрительные процессы
      От Афродита в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2011, 16:16
    3. подозрительные процессы upd.exe
      От Anton_Petrenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.08.2010, 09:11
    4. Помогите подозрительные процессы
      От bassay в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.01.2010, 16:32
    5. подозрительные процессы...
      От AleXPander в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.09.2009, 13:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01584 seconds with 16 queries