-
Junior Member
- Вес репутации
- 45
readme.exe и netprotocol.exe
Здравствуйте. Искал программу в интернете и NOD32 показывает мне, что он блокирует файл readme.exe, но он всеравно выполнился в командной строке очень быстро и компьютер стал перезагружаться. Однако он не включился до конца, он остановился на том моменте, когда должно писаться - Добро пожаловать!, но там написано - Запуск Windows... . В безопастном режиме удалил файлы readme.exe и netprotocol.exe в %APPDATA%, удалил netprotocol.exe из автозагрузки, также я удалил Trojan.Mayachok.1 вручную (правкой ключа в реестре, удалением .dll и .tmp файлов). Компьютер пока не пробывал включать в обычном режиме. Сделал диагностику в Безопастном режиме.
Последний раз редактировалось thyrex; 20.03.2012 в 19:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) IIItepSeLb, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\COMRes.dll','');
QuarantineFile('C:\WINDOWS\comres.dll','');
DeleteService('amsint32');
DeleteFile('C:\WINDOWS\system32\drivers\lfpnem.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
Скрипт выполнил, сделал логи, отправил 2 карантина. Сначало 1 (перед новыми логами) и потом 2 (после). Они сильно отличаются. Компьютер включился в нормальном состоянии, а не в безопастном режиме. Слава богу Только вот включался долго почему-то... Файлы COMRes.dll остались
P.S. Не подскажите, как удалить файлы с вложений? А то искал минут 5 так и не нашел как.
Последний раз редактировалось thyrex; 20.03.2012 в 19:36.
-
Осваиваете генераторы вирусов? Не удивляйтесь, если тема будет закрыта
Код:
C:\Temp\0.6253758421464073fdrgs.exe
C:\Temp\0.8785202723364411fdrgs.exe
C:\WINDOWS\ctfmon.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\iexpress.exe
C:\WINDOWS\linkinfo.dll
C:\WINDOWS\msacm32.drv
C:\WINDOWS\mstinit.exe
C:\WINDOWS\msvidc32.dll
C:\WINDOWS\npptools.dll
C:\WINDOWS\ntvdm.exe
C:\WINDOWS\smlogsvc.exe
C:\WINDOWS\ups.exe
C:\WINDOWS\wdmaud.drv
C:\WINDOWS\win32k.sys
C:\WINDOWS\wuauclt.exe
C:\WINDOWS\dllhost.exe
C:\WINDOWS\msiexec.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\spoolsv.exe
C:\WINDOWS\userinit.exe
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ только указанные ниже записи
Код:
Обнаруженные модули в памяти: 1
C:\WINDOWS\linkinfo.dll (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные ключи в реестре: 10
HKCR\CLSID\{EF94624F-EAAE-47CA-BE5B-86FDBF0B2BBA} (Backdoor.Hupigon) -> Действие не было предпринято.
HKCR\TypeLib\{5FD5723F-D6F6-4F31-A7D0-318E72D28E80} (Backdoor.Hupigon) -> Действие не было предпринято.
HKCR\Interface\{DF4F905C-0961-4464-8460-DD2A1F274D1F} (Backdoor.Hupigon) -> Действие не было предпринято.
HKCU\Software\Hardtware (Malware.Trace) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Действие не было предпринято.
HKLM\Software\XDenSer Software (PUP.NetScreen) -> Действие не было предпринято.
Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)
Обнаруженные файлы: 50
C:\WINDOWS\QMDispatch.dll (Backdoor.Hupigon) -> Действие не было предпринято.
C:\Documents and Settings\USER\Мои документы\DevelStudio\Project2\Project.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\USER\Мои документы\DevelStudio\Project29\Project.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\USER\Мои документы\DevelStudio\Project3\Project.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\USER\Мои документы\DevelStudio\Project32\Project.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\USER\Мои документы\DevelStudio\Project33\Project.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\USER\Рабочий стол\671_FuHTuK_KZH\FuHTuK.exe (Trojan.FakeAlert.SecGen) -> Действие не было предпринято.
C:\Documents and Settings\USER\Рабочий стол\GeneratorTroj\CsDeath_47.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Documents and Settings\USER\Рабочий стол\GeneratorTroj\GeneratorTroj.exe (Backdoor.Agent) -> Действие не было предпринято.
C:\Documents and Settings\USER\Рабочий стол\GeneratorTroj\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\USER\Рабочий стол\GeneratorTroj\DevelopHack\hack.exe (Trojan.Agent) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-2163411867-1790521817-3020190987-500\Dc5.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\Temp\0.6253758421464073fdrgs.exe (Trojan.Cidox) -> Действие не было предпринято.
C:\Temp\0.8785202723364411fdrgs.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\WINDOWS\linkinfo.dll (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
Генератор вирусов - это было давно, тем более он уже не работает.
Не нашел файлы:
Код:
C:\Temp\0.6253758421464073fdrgs.exe
C:\Temp\0.8785202723364411fdrgs.exe
Выслал остальные файлы.
MBAM - выполняю сканирование, и удалю, то что вы сказали.
И ещё мне MBAM пишет вот такое:
Как это устранить?
Так же всплывало такое же сообщение с IP: 188.120.237.135
Последний раз редактировалось IIItepSeLb; 29.01.2012 в 15:09.
-
Junior Member
- Вес репутации
- 45
Последний раз редактировалось thyrex; 20.03.2012 в 19:36.
-
Объясните, что системные файлы, которые брались в карантин, у Вас делают еще и в папке Windows, если им место в папке system32?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
А ну это когда произошёл форс-мажор, я восстановлял систему Acronis'ом и все файлы из system32 попали и в папку WINDOWS.
Что-то ещё скажите по поводу проблемы?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
Проблема была в том что компьютер не включался. Щас включается нормально. Спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 50
- В ходе лечения вредоносные программы в карантинах не обнаружены
-