-
Junior Member
- Вес репутации
- 54
Учетные записи
Доброго время суток.
Давненько я столкнулся с такой проблемой, после перезагрузки компьютера создаются просто левые учетные записи, как вот, например, сейчас создалась уч. запись alone с правами администратора и запароленная. Подскажите из-за чего, может, возникать такая проблема, и методы её решения. И еще, если у меня какие-то проблемы будут в компьютере кроме этой, пожалуйсто подскажите. С уважением Владислав.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Smike2, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\boot1.exe','');
QuarantineFile('C:\WINDOWS\system32\deskadp.dll','');
QuarantineFile('C:\WINDOWS\XXXXXX579E5A5B VVVVVVrr2unw==\svchsot.exe','');
QuarantineFile('C:\WINDOWS\Ball.exe','');
QuarantineFile('C:\Program Files\SogouPinyinUp.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\ohbdm.cc3','');
TerminateProcessByName('c:\recycler\ssvchost.exe');
QuarantineFile('c:\recycler\ssvchost.exe','');
DeleteFile('c:\recycler\ssvchost.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\ohbdm.cc3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\Ball.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Ball');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Ball');
DeleteFile('C:\WINDOWS\XXXXXX579E5A5B VVVVVVrr2unw==\svchsot.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XXXXXX579E5A5B VVVVVVrr2unw==');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XXXXXX83AB5211');
DeleteFileMask('C:\WINDOWS\XXXXXX579E5A5B VVVVVVrr2unw==', '*.*', true);
DeleteDirectory('C:\WINDOWS\XXXXXX579E5A5B VVVVVVrr2unw==');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\mprdim.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
логи не грузятся на этот сайт, вот с народа
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
Карантин посмотрел, его нету
-
Сообщение от
Smike2
Карантин посмотрел, его нету
Не там значит смотрели
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
-
-
Junior Member
- Вес репутации
- 54
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Пишет при загрузке quarantin.zip
закинул этот карантин зип в новую папку и заархивировал , закинул по ссылке в шапке темы
-
Такие файлы есть у Вас?
Код:
C:\boot1.exe
C:\WINDOWS\system32\deskadp.dll
C:\Program Files\SogouPinyinUp.exe
-
-
Junior Member
- Вес репутации
- 54
есть только C:\WINDOWS\system32\deskadp.dll
C:\Program Files\SogouPinyinUp.exe
а boot1.exe находится в C:\WINDOWS\system32
-
Запакуйте все эти файлы вручную и пришлите по красной ссылке вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
сделал прислал по ссылке выше прислать запрошенный карантин
-
А зачем? Прикреплять к сообщению нужно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\hexjiajia.exe', 'MBAM: Trojan.AVKiller');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Hacks_and_bots_-_RePack_by_maXXimum!Ver_4\Hacks and bots - RePack by maXXimum!Ver 4\Брут акков для pvp серверов\Perfect Wordl Brutfors for PVP.exe', 'MBAM: VirTool.DelfInject');
QuarantineFile('C:\Documents and Settings\Женя\Рабочий стол\3_RagdollMasters\Ragdoll Masters\Patch.exe', 'MBAM: Trojan.Bancos');
QuarantineFile('C:\RECYCLER\hexjiajia.exe', 'MBAM: Trojan.AVKiller');
QuarantineFile('C:\WINDOWS\system32\hexjiajia.exe', 'MBAM: Trojan.AVKiller');
QuarantineFile('C:\WINDOWS\Temp\zk.exe', 'MBAM: Trojan.AVKiller');
QuarantineFile('D:\Разный софт\Разработка серва и всё что с ним связано\Сервак\Hacks_and_bots_-_RePack_by_maXXimum!Ver_4\Hacks and bots - RePack by maXXimum!Ver 4\Брут акков для pvp серверов\Perfect Wordl Brutfors for PVP.exe', 'MBAM: VirTool.DelfInject');
QuarantineFile('C:\RECYCLER\bootsvchost.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\hexsvchost.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\sh1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\shjiajia.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\stsvchost.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpsvchost.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zy1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zyjiajia.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\WINDOWS\system32\73db5414.rdb', 'MBAM: Malware.Trace');
QuarantineFile('C:\Program Files\SogouPinyinUp.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\updB0.tmp', 'MBAM: Trojan.ServiceHijacker');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\updB5.tmp', 'MBAM: Trojan.ServiceHijacker');
DeleteFile('C:\Documents and Settings\hexjiajia.exe');
DeleteFile('C:\RECYCLER\hexjiajia.exe');
DeleteFile('C:\WINDOWS\system32\hexjiajia.exe');
DeleteFile('C:\WINDOWS\Temp\zk.exe');
DeleteFile('C:\RECYCLER\bootsvchost.exe');
DeleteFile('C:\RECYCLER\hexsvchost.exe');
DeleteFile('C:\RECYCLER\sh1.exe');
DeleteFile('C:\RECYCLER\shjiajia.exe');
DeleteFile('C:\RECYCLER\stsvchost.exe');
DeleteFile('C:\RECYCLER\xp1.exe');
DeleteFile('C:\RECYCLER\xpsvchost.exe');
DeleteFile('C:\RECYCLER\zy1.exe');
DeleteFile('C:\RECYCLER\zyjiajia.exe');
DeleteFile('C:\WINDOWS\system32\73db5414.rdb');
DeleteFile('C:\Documents and Settings\Женя\Application Data\WebaltaService\WebaltaService.cfg');
DeleteFile('C:\Program Files\SogouPinyinUp.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\updB0.tmp');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\updB5.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все, кроме
Код:
Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные файлы: 22
C:\Documents and Settings\Admin\Рабочий стол\Hacks_and_bots_-_RePack_by_maXXimum!Ver_4\Hacks and bots - RePack by maXXimum!Ver 4\Брут акков для pvp серверов\Perfect Wordl Brutfors for PVP.exe (VirTool.DelfInject) -> Действие не было предпринято.
C:\Documents and Settings\Женя\Рабочий стол\3_RagdollMasters\Ragdoll Masters\Patch.exe (Trojan.Bancos) -> Действие не было предпринято.
C:\Program Files\Total Com\Wcmikons.dll (Trojan.FakeAlert) -> Действие не было предпринято.
D:\Разный софт\Разработка серва и всё что с ним связано\Сервак\Hacks_and_bots_-_RePack_by_maXXimum!Ver_4\Hacks and bots - RePack by maXXimum!Ver 4\Брут акков для pvp серверов\Perfect Wordl Brutfors for PVP.exe (VirTool.DelfInject) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Спасибо, пока ничего не появлялось.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 62
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\hexjiajia.exe - P2P-Worm.Win32.Palevo.cqmm ( DrWEB: Trojan.Keylog.482, BitDefender: Trojan.Generic.KDV.189263, NOD32: Win32/Agent.OML trojan, AVAST4: Win32:Palevo-AK [Wrm] )
- c:\\recycler\\hexjiajia.exe - P2P-Worm.Win32.Palevo.cqmm ( DrWEB: Trojan.Keylog.482, BitDefender: Trojan.Generic.KDV.189263, NOD32: Win32/Agent.OML trojan, AVAST4: Win32:Palevo-AK [Wrm] )
- c:\\recycler\\hexsvchost.exe - Trojan-GameThief.Win32.Magania.gsjb ( DrWEB: Trojan.PWS.Wsgame.34325, BitDefender: Backdoor.Generic.716214, AVAST4: Win32:Malware-gen )
- c:\\recycler\\shjiajia.exe - Trojan-Downloader.BAT.Small.aq ( AVAST4: BV:Ftp-AR [Trj] )
- c:\\recycler\\stsvchost.exe - Trojan-GameThief.Win32.Magania.gvfa ( DrWEB: Trojan.PWS.Wsgame.34325, BitDefender: Trojan.Generic.7539576, AVAST4: Win32:Malware-gen )
- c:\\recycler\\zyjiajia.exe - Trojan-Downloader.BAT.Small.aq ( AVAST4: BV:Ftp-AR [Trj] )
- c:\\windows\\system32\\hexjiajia.exe - P2P-Worm.Win32.Palevo.cqmm ( DrWEB: Trojan.Keylog.482, BitDefender: Trojan.Generic.KDV.189263, NOD32: Win32/Agent.OML trojan, AVAST4: Win32:Palevo-AK [Wrm] )
- c:\\windows\\temp\\zk.exe - P2P-Worm.Win32.Palevo.cqmm ( DrWEB: Trojan.Keylog.482, BitDefender: Trojan.Generic.KDV.189263, NOD32: Win32/Agent.OML trojan, AVAST4: Win32:Palevo-AK [Wrm] )
-