Junior Member
Вес репутации
46
Процессы addrive32.exe, ecleaner.exe, [буква].tmp, [двузначное число].exe
Уже пару-тройку месяцев никак не могу убить процессы из заголовка темы. Купил лицензионный Kaspersky Antivirus 2012, но он не смог исправить положение. Скачать CureIT! не удалось - доступа к сайту нет, а со стороннего сайта скачивать побоялся. Касперски постоянно нагружает процессор на 100% и находит угрозы, которые я устраняю, а они появляются снова. Система Win XP. На компе стоит еще одна XP, зараженная тем же. Тему по ней создам позже, когда проверю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sharzon , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\88.exe','');
QuarantineFile('D:\WINDOWS\system32\78.exe','');
QuarantineFile('D:\WINDOWS\system32\75.exe','');
QuarantineFile('D:\WINDOWS\system32\68.exe','');
QuarantineFile('D:\WINDOWS\system32\66.exe','');
QuarantineFile('D:\WINDOWS\system32\64.exe','');
QuarantineFile('D:\WINDOWS\system32\46.exe','');
QuarantineFile('D:\WINDOWS\system32\43.exe','');
QuarantineFile('D:\WINDOWS\system32\41.exe','');
QuarantineFile('D:\WINDOWS\system32\40.exe','');
QuarantineFile('D:\WINDOWS\system32\33.exe','');
QuarantineFile('D:\WINDOWS\system32\26.exe','');
QuarantineFile('D:\WINDOWS\system32\25.exe','');
QuarantineFile('D:\WINDOWS\system32\22.exe','');
QuarantineFile('D:\WINDOWS\system32\13.exe','');
QuarantineFile('D:\WINDOWS\system32\11.exe','');
QuarantineFile('D:\WINDOWS\system32\10.exe','');
QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\MWAZ2V49\xxx_video_50472.avi[1].exe','');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\MWAZ2V49\xxx_video_50472.avi[1].exe');
DeleteFile('D:\WINDOWS\system32\10.exe');
DeleteFile('D:\WINDOWS\system32\11.exe');
DeleteFile('D:\WINDOWS\system32\13.exe');
DeleteFile('D:\WINDOWS\system32\22.exe');
DeleteFile('D:\WINDOWS\system32\25.exe');
DeleteFile('D:\WINDOWS\system32\26.exe');
DeleteFile('D:\WINDOWS\system32\33.exe');
DeleteFile('D:\WINDOWS\system32\40.exe');
DeleteFile('D:\WINDOWS\system32\41.exe');
DeleteFile('D:\WINDOWS\system32\43.exe');
DeleteFile('D:\WINDOWS\system32\46.exe');
DeleteFile('D:\WINDOWS\system32\64.exe');
DeleteFile('D:\WINDOWS\system32\66.exe');
DeleteFile('D:\WINDOWS\system32\68.exe');
DeleteFile('D:\WINDOWS\system32\75.exe');
DeleteFile('D:\WINDOWS\system32\78.exe');
DeleteFile('D:\WINDOWS\system32\88.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите все патчи для MS SQL Server
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
А где можно узнать вообще что за MS SQL Server у меня стоит и его версию?
У Вас в системе PostgreSQL Server 8.4 и d:\program files\microsoft sql server
Возможно первый использует в своей работе второго
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Так, качаю последнюю версию восьмой PostgreSQL, а вот версию MS SQL Server так и не смог определить.
Junior Member
Вес репутации
46
Все сделал. Когда MBAM начал проверять появились процессы jodrive32.exe и какой-то .tmp. Я их убил.
Вложения
удалите все найденное мбам , повторите лог
Junior Member
Вес репутации
46
Т.к. я закрыл mbam к моменту вашего ответа, то попытался проверить снова, чтобы удалить все, что он сказал. Вместо трех часов, он проверял восемь, да и к концу проверки вылетел, после чего появился jodrive32 и прочие tmp. Пришлось вручную удалять через kaspersky rescue disk. Удалил все, кроме ключей реестра. Когда начал их удалять уже под виндой, опять вылетели addrive32 c tmp'ами и закрыли мне regedit. Кстати, после удаления этих файлов при загрузке вылетает ошибка у explorer'а и он закрывается и грузится снова. Касперыч и прочие type&run, которые должны быть в автозапуске не загружаются.
Вложения
установите все ! обновления системы и сделайте лог мбам... как вас и просили
Junior Member
Вес репутации
46
Хм, это у меня было какое-то помутнение рассудка, я почему-то подумал, что у меня все обновления стоят.
В общем, по ссылке для обновления винды, которую вы дали "говорят":
"403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied".
А центр загрузки Microsoft не хочет грузиться. И вообще их сайты либо со скрипом работают, либо не грузятся вообще.
Где найти патчи, которым можно доверять, не знаю.
Junior Member
Вес репутации
46
Лога нет. Проверял в третий раз им и под конец все равно aadrive32 появляется и вырубается Process Explorer на пару с mbam'ом.
Сообщение от
Sharzon
Где найти патчи, которым можно доверять, не знаю.
Поставьте этот пакет:
http://forum.oszone.net/thread-182066.html .
Добавлено через 5 минут
После установки выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Fzuout.exe');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Lbuouz.exe');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\dadvmgr32.exe');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\trfmgr32.exe');
DeleteFile('D:\WINDOWS\jodrive32.exe');
DeleteFile('D:\WINDOWS\system32\c9mgr.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('D:\WINDOWS\system32\01.exe');
DeleteFile('D:\WINDOWS\system32\03.exe');
DeleteFile('D:\WINDOWS\system32\04.exe');
DeleteFile('D:\WINDOWS\system32\05.exe');
DeleteFile('D:\WINDOWS\system32\17.exe');
DeleteFile('D:\WINDOWS\system32\20.exe');
DeleteFile('D:\WINDOWS\system32\22.exe');
DeleteFile('D:\WINDOWS\system32\27.exe');
DeleteFile('D:\WINDOWS\system32\37.exe');
DeleteFile('D:\WINDOWS\system32\38.exe');
DeleteFile('D:\WINDOWS\system32\40.exe');
DeleteFile('D:\WINDOWS\system32\41.exe');
DeleteFile('D:\WINDOWS\system32\44.exe');
DeleteFile('D:\WINDOWS\system32\47.exe');
DeleteFile('D:\WINDOWS\system32\50.exe');
DeleteFile('D:\WINDOWS\system32\54.exe');
DeleteFile('D:\WINDOWS\system32\55.exe');
DeleteFile('D:\WINDOWS\system32\57.exe');
DeleteFile('D:\WINDOWS\system32\58.exe');
DeleteFile('D:\WINDOWS\system32\65.exe');
DeleteFile('D:\WINDOWS\system32\66.exe');
DeleteFile('D:\WINDOWS\system32\70.exe');
DeleteFile('D:\WINDOWS\system32\72.exe');
DeleteFile('D:\WINDOWS\system32\77.exe');
DeleteFile('D:\WINDOWS\system32\78.exe');
DeleteFile('D:\WINDOWS\system32\80.exe');
DeleteFile('D:\WINDOWS\system32\85.exe');
DeleteFile('D:\WINDOWS\system32\87.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
Последний раз редактировалось Bratez; 20.10.2011 в 09:07 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
46
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Тему можно закрывать: система рухнула, восстановить с помощью установочника не удалось, поставил новую.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 41 В ходе лечения обнаружены вредоносные программы:
d:\\windows\\system32\\68.exe - Trojan.Win32.Menti.ihpa ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.376981, AVAST4: Win32:Kolab-MX [Trj] )