-
Junior Member
- Вес репутации
- 55
2812051079:2021745496.exe
В памяти висит процесс 2812051079:2021745496.exe
Утилита combofix не запускается.
Kaspesky rescue disk и drweb cureit находят и удаляют файл c:\windows\2812051079:2021745496.exe
но после перезагрузки он снова появляется, avz приблизительно на 50-60% выпадает с ошибкой
если приостановить avz приблизительно на 40% можно сохранить лог работы
и сформировать архив с файлами на карантине
В системном журнале событий появляется запись.
Имя сбойного приложения: avz.exe, версия: 4.35.0.1, отметка времени: 0x2a425e19
Имя сбойного модуля: WindowsCodecs.dll, версия: 6.1.7601.17514, отметка времени 0x4ce7ba3a
Код исключения: 0xc0000005
Смещение ошибки: 0x000f6ca9
Идентификатор сбойного процесса: 0x2f8
Время запуска сбойного приложения: 0x01cc76b81b9480d6
Путь сбойного приложения: C:\Users\administrator\Downloads\avz4\avz4\avz.exe
Путь сбойного модуля: C:\Windows\system32\WindowsCodecs.dll
Код отчета: 117a3a12-e2b1-11e0-828b-d8d3851af843
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) alexyeyev, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member
- Вес репутации
- 55
MBAM установился, обновился, запустили в нем полную провернку. Через 2 сек закрылся. Повторно не запускается "отказавно в доступе к указанному устройству, пути или файлу"
TDSSKiller запустился сгенерировал лог. При попытк повторно запустить TDSSKiller ошибка как у MBAM
-
Переименуйте АВЗ в pong.pif
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
DeleteFile('C:\Windows\2812051079:2021745496.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил)
Пробуйте сделать логи.
-
-
Junior Member
- Вес репутации
- 55
авз переименовал, скрипт выполнился, система перезагрузилась, карантин выложил
процесс 2812051079:2021745496.exe в памяти остался
в авз скрипт лечения и карантина закрывает авз
скрипт сбора информации для раздела помогите отработал
-
Отключите восстановление системы!
Скачайте "OSAM" (Online Solutions Autorun Manager).
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
-
-
Junior Member
- Вес репутации
- 55
Восстановление системы отключено.
Osam установился, лог его работы прикрепил
-
Выполните следующее:
1.запустите OSAM дождитесь окончания сканирования
2.зайдите в настройки OSAM'а и нажмите на кнопку "Settings" в его верхнем меню
3.измените опцию "Disable objects using the driver" на вариант "Always"
4.снимите галочку напротив этой строки:
Код:
C:\Windows\2812051079:2021745496.exe
5.нажимаем Apply затем нажимаем на "Reboot now" (после чего компьютер автоматически перезагрузится).
Затем выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\2812051079:2021745496.exe','');
DeleteFile('C:\Windows\2812051079:2021745496.exe');
DeleteService('877e9ca7');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 55
Восстановление системы отключено.
В osam манипуляции произвел, перегрузился.
Скрипт авз выполнился, карантин закачал, процесс в памяти остался.
Удается сделать только лог скрипта сбор информации для раздела помогите
-
Выполните скрипт в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\Windows\2812051079:2021745496.exe');
StopService('877e9ca7');
SetServiceStart('877e9ca7', 4);
DeleteService('877e9ca7 ',true);
DeleteFile('c:\windows\2812051079:2021745496.exe');
BC_ImportAll;
BC_DeleteFile('c:\windows\2812051079:2021745496.exe');
BC_DeleteSvc('877e9ca7');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
-
-
Скачайте TDSSkiller еще раз и удалите (а не пропускайте)
877e9ca7 (8f2bb1827cac01aee6a16e30a1260199) C:\Windows\2812051079:2021745496.exe
Suspicious file (Hidden): C:\Windows\2812051079:2021745496.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
877e9ca7 - detected HiddenFile.Multi.Generic (1)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Кажется помогло, после перезагрузки процесс в памяти не появился. Запустился и отработал combofix. Но попытка запустить скрипт лечения/карантина в AVZ приблизительно на 50% без ошибки закрывает AVZ.
-
Лог ComboFix предоставьте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
Код:
c:\users\user\AppData\Roaming\1C
c:\users\user\AppData\Roaming\1C\1Cv81\1cv8.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\1cv8cmn.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\1cv8strt.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8cmn.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\89cd7d85-b64a-4f64-9204-27ef3bd022ea\1cv8.pfl
c:\users\user\AppData\Roaming\1C\1Cv81\ibases.v8i
c:\users\user\AppData\Roaming\1C\1Cv81\v7cnv.pfl
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Новое в версии.htm
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Изменения в версии.mxl
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1С_Управляющий 8. Версия 1.6.4. Измененные объекты.mxl
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.cf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.cfu
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1Cv8.dt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8.mft
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\1cv8upd.htm
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\Convert.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Convert\FromStandartToProf.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\ExtProc.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ExtProc\GroupProc.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\ReadMe.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account7_Boss.ert
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account81_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Account82_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\Схема_формата_выгрузки.html
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\СхемаФорматаВыгрузки.xml
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ПримерБезДанных.xml
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\SсhemaXML\ReadMe.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade7_Boss.ert
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade81_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Trade82_Boss.epf
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\Transfer\Transfer.txt
c:\users\user\AppData\Roaming\1C\1Cv82\tmplts\Ru-Systems\Boss\1_6_4_2\UpdInfo.txt
Ошибочно удаленное ComboFix восстановите http://virusinfo.info/showthread.php...l=1#post514765
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
наконец-то удалось сделать лог лечения/карантина для раздела помогите
-
Плохого не увидел
Удалите ComboFix
Удалите OSAM
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-