Показано с 1 по 17 из 17.

Поймал вирус, помогите пожалуйста узнать какой и как избавиться!!! (заявка № 112196)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46

    Поймал вирус, помогите пожалуйста узнать какой и как избавиться!!!

    В общем скачал кодеки. Обычно смотрю на вес файла перед тем как запустить, но тут почему то не глянул и запустил. Перезагрузился комп. И теперь перестали работать практически все .exe файлы. При попытки запустить просто пишет, что "Прекращена работа программ" и предлагает искать решение либо в нете либо закрыть программу.

    Ошибки такие:
    1)
    Сигнатура проблемы:
    Имя события проблемы: APPCRASHИмя приложения: Origin.exe
    Версия приложения: 8.3.1.9
    Отметка времени приложения: 4ea09629
    Имя модуля с ошибкой: StackHash_c8ff
    Версия модуля с ошибкой: 0.0.0.0
    Отметка времени модуля с ошибкой: 00000000
    Код исключения: c0000005
    Смещение исключения: 008c1946
    Версия ОС: 6.1.7601.2.1.0.768.3
    Код языка: 1049
    Дополнительные сведения 1: c8ff
    Дополнительные сведения 2: c8ff0e77cac8bda7328d43fc1d728401
    Дополнительные сведения 3: 50d1
    Дополнительные сведения 4: 50d1afe05f598c61bb0a29b83b11eb05

    2)
    Сигнатура проблемы
    Имя события проблемы: APPCRASH
    Имя приложения: googleearth.exe
    Версия приложения: 6.1.0.5001
    Отметка времени приложения: 4e9c6de3
    Имя модуля с ошибкой: StackHash_4aac
    Версия модуля с ошибкой: 0.0.0.0
    Отметка времени модуля с ошибкой: 00000000
    Код исключения: c0000005
    Смещение исключения: 00271946
    Версия ОС: 6.1.7601.2.1.0.768.3
    Код языка: 1049
    Дополнительные сведения 1: 4aac
    Дополнительные сведения 2: 4aac34dc59c82041d72c7926fe1ac09f
    Дополнительные сведения 3: fd56
    Дополнительные сведения 4: fd56805ec3846891c05207d423ee1f09

    3)Сигнатура проблемы:
    Имя события проблемы: APPCRASH
    Имя приложения: GOM.exe
    Версия приложения: 2.1.27.5031
    Отметка времени приложения: 4c874a95
    Имя модуля с ошибкой: StackHash_56ad
    Версия модуля с ошибкой: 0.0.0.0
    Отметка времени модуля с ошибкой: 00000000
    Код исключения: c0000005
    Смещение исключения: 007d1946
    Версия ОС: 6.1.7601.2.1.0.768.3
    Код языка: 1049
    Дополнительные сведения 1: 56ad
    Дополнительные сведения 2: 56ad976cad7ce7e698f789aedbf97c59
    Дополнительные сведения 3: 0470
    Дополнительные сведения 4: 0470aafa9aab30f4e035b529d5b11982


    В общем имя события всегда одно на всех файлах, но вот Имя модуля всегда StackHash но код всегда разный, но. У каждого екзешнка всегда один и тот же. То есть если я запускаю GOM player то Имя модуля ошибки всегда StackHash_56ad.

    В общем помогите прошу. То что это вирус эт точно... Но в процессах я не могу его найти. Он может так и отображается, но каких то вызывающих подозрения процессов я не заметил...
    Помогите.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) SadMoonLight, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    Что касается диогностики:

    При попытки запустить АВЗ

    Сигнатура проблемы:
    Имя события проблемы: APPCRASH
    Имя приложения: avz.exe
    Версия приложения: 4.37.0.12
    Отметка времени приложения: 2a425e19
    Имя модуля с ошибкой: StackHash_d6c2
    Версия модуля с ошибкой: 0.0.0.0
    Отметка времени модуля с ошибкой: 00000000
    Код исключения: c0000005
    Смещение исключения: 01691946
    Версия ОС: 6.1.7601.2.1.0.768.3
    Код языка: 1049
    Дополнительные сведения 1: d6c2
    Дополнительные сведения 2: d6c2877a3c234994f8b606dfa00d82c4
    Дополнительные сведения 3: b4fa
    Дополнительные сведения 4: b4fa12569346cda9d03d91ecf7325f6b


    Что касается HiJackThis
    Вроде он записался, но после завершения, программа закрылась сама по себе.



    Получилось проверить комп программой AVZ только в безопасном режиме с поддержкой сетевых драйверов.
    Но там появился ток один фаил syscheck

    syscure не было
    Вложения Вложения
    Последний раз редактировалось SadMoonLight; 10.11.2011 в 04:26.

  5. #4
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    Да, кстати. Что хотел бы добавить. Вирус действует только по отношению к 32-ух битным приложениям. 64-ёх битные запускаются спокойно без ошибок. Именно благодоря internet Explorer 64bit смог написать сюда. Так же работает ТимСпик 64 бита. И Media Player Classic 64bit. А всё что 32-ух битное при попытке запустить выдаёт ошибку.

  6. #5
    Student (P) Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для crush13
    Регистрация
    28.05.2010
    Адрес
    Курган
    Сообщений
    680
    Вес репутации
    77
    SadMoonLight, доброго времени.

    1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
    Отключите:
    - ПК от интернета/локальной сети;
    - Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
    - Выгрузите антивирус и/или Файрвол;
    - Пофиксите в HJT:
    Код:
    O13 - Gopher Prefix: 
    O20 - AppInit_DLLs: C:\Windows\system32\kwoyofm.dll
    - Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\Windows\system32\WINSAT.EXE','');
     QuarantineFile('C:\Windows\System32\drivers\processr.sys','');
     QuarantineFile('C:\Windows\system32\kwoyofm.dll','');
     QuarantineFile('E:\75fc727a87fbcb80ded51ed9cd54\DW\DW20.exe','');
     DeleteFile('C:\Windows\system32\kwoyofm.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
     ExecuteWizard('SCU',2,2,true);  
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    2. После перезагрузки выполните такой скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;

    Деинсталлируйте AskToolbar! - это AdWare.

    4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
    5. Сделайте лог полного сканирования MBAM.
    6. Логи прикрепите к следующему сообщению.
    [RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
    [RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
    [RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]

  7. #6
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    После фикс в HJT программы стали запускаться.

    Но я не могу выполнить скрипт в AVZ, авз просто закрывается.


    Что делать?


    P.S.: Кстати у меня ещё остался сам файл вируса. Ну экзешник. Вам нужен? Могу кинуть.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    116
    Выполните такой скрипт:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Windows\system32\WINSAT.EXE','');
     QuarantineFile('C:\Windows\System32\drivers\processr.sys','');
     QuarantineFile('C:\Windows\system32\kwoyofm.dll','');
     QuarantineFile('E:\75fc727a87fbcb80ded51ed9cd54\DW\DW20.exe','');
     DeleteFile('C:\Windows\system32\kwoyofm.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
     ExecuteWizard('SCU',2,2,true);  
    RebootWindows(true);
    end.

  9. #8
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    При его выполнении отключаться от сети?

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    В общем отключился от сети и выполнил.
    Карантин выслал.


    Удалил Ask Toolbar с помощью Uinstall Tool

    Повторные логи вот.
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    MBAM пока проверку делает. Как сделает кину его логи.

    Ну так фаил нужен вируса или удалять?
    Последний раз редактировалось SadMoonLight; 10.11.2011 в 17:20.

  13. #12
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    d:\downloads\mpg_-_kodeki.bat (Trojan.Agent) -> No action taken.
    Это и есть файл вируса. Просто я расширение с .exe поменял на .bat, что б залезть в пункт "изменить"

    В общем как я понял больше вируса нет?
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    Я удаляю объекты с помощью MBAM ?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    d:\downloads\mpg_-_kodeki.bat переименуйте в exe-файл, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    10.11.2011
    Сообщений
    17
    Вес репутации
    46
    Всё сделал. Переименовал обратно в экзешник. Добавил в архив. Пароль поставил virus. Отправил.
    Последний раз редактировалось SadMoonLight; 11.11.2011 в 01:05.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В карантине Trojan-Dropper.Win32.Cidox.hnh
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\kwoyofm.dll - Trojan-Ransom.Win32.Cidox.aew ( DrWEB: Trojan.Mayachok.550, BitDefender: Gen:Variant.Vundo.18, AVAST4: Win32:MalOb-IL [Cryp] )
      2. \\mpg_-_kodeki.exe - Trojan-Dropper.Win32.Cidox.hnh ( DrWEB: Trojan.Mayachok.5022, BitDefender: Gen:Variant.Mayachok.3, AVAST4: Win32:MalOb-HT [Cryp] )


  • Уважаемый(ая) SadMoonLight, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 10.02.2012, 00:43
    2. Поймал какой-то вирус! Срочно
      От Osakuro в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 24.07.2011, 15:18
    3. поймал вирус не могу избавиться
      От Heo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.05.2011, 22:37
    4. Ответов: 5
      Последнее сообщение: 06.07.2009, 21:13
    5. Поймал какой-то вирус, не знаю какой
      От Armyun в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.05.2009, 23:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01425 seconds with 18 queries