-
Junior Member
- Вес репутации
- 61
подозрение на вирусы и шпионские трояны [Trojan.MSIL.Crypt.gxy, Trojan.Win32.Jorik.Mokes.aeu
]
Здравствуйте. В последнее время система работает нестабильно. Заметил, что при отключенном браузере на роутере происходит активное мигание передачи. После проверки на вирус и удалении двух троянов при загрузке системы стали пояляться сообщения
Windows неудалось найти C:\Documents. Не удается запустить или загрузить файл, который присутствует в реестре.
Windows не удалось найти "and". Не удается запустить или загрузить файл "and", который присутствует в реестре.
Windows не удалось найти Settings\Владимир\ssdodbc.exe. Не удается запустить или загрузить файл, ссылка на который присутствует в реестре.
После сброса этих окошек появляется окно загрузки NET.Framework, после чего появляются многочисленные окошки ошибок загрузки файлов типа B.tmp, 8A.tmp, 81.tmp, 6D.tmp, 5F.tmp, 3A.tmp, 1F.tmp, 4E.tmp, 132.tmp, 2C.tmp, 115.tmp, 13B.tmp, 11E.tmp с запросом исправить их или пропустить.
В процессе работы постоянно выскакивает ошибка - vbc.exe обнаружена ошибка с последующими кучами окошек.
При работе в интернете заметил неприятную вещь, когда переходишь на другую страницу, то часто выскакивает ошибка соединения о просроченном времени. Скорость закачки при этом хорошая. ССылки к примеру с сайта virusinfo почти не грузились. Время ожидания было большим, после чего была просьба о повторном вызове.
Такого раньше не было. Это только внешние проявления.Вложение 369422Вложение 369423
Прошу помочь мне в устранении ошибки. Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Vladomir12, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\svdhalp.exe');
TerminateProcessByName('c:\documents and settings\Владимир\ssdodbc.exe');
QuarantineFile('C:\Program Files\Nero\Nero 7\InCD\InCD.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\B.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\9B.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\8A.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\81.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\6D.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\5F.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\4E.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\3A.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\2C.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\1F.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\1A.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\13B.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\132.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\13.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\11E.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\115.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\ssdodbc.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\36E019.exe','');
TerminateProcessByName('c:\windows\system32\svdhalp.exe');
TerminateProcessByName('c:\documents and settings\Владимир\ssdodbc.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\36E019.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WinRAR SFX');
DeleteFile('C:\Documents and Settings\Владимир\ssdodbc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NzIzNjYxODUyRTgzMDU0MU');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\115.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\11E.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\13.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\132.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\13B.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\1A.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\1F.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\2C.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\3A.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\4E.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\5F.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\6D.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\81.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\8A.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\9B.tmp');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\B.tmp');
DeleteFileMask('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка','*.tmp',false);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
+ это http://virusinfo.info/showthread.php?t=115256
-
-
Junior Member
- Вес репутации
- 61
В AVZ проделал скрипт, после чего компьютер перезагрузился. Визуально грузился он по старому, кроме не выскакивали ошибки, связанные с файлами *.tmp.
Сделал новые логи, в приложении.
Забыл сказать, что с некоторой периодичностью система зависает на несколько секунд, от 1 до двух. Замирает все, от мышки до видео.
Файл карантина никак не могу переслать, все время превышается интервал. сделал кучу попыток, даже перезагрузился. Может его как нибудь другим способом можно отослать.
Последний раз редактировалось Vladomir12; 08.07.2012 в 01:58.
-
Сообщение от
Vladomir12
Может его как нибудь другим способом можно отослать.
Да, загрузите его на какой-нибудь файлообменник и пришлите ссылку мне в личные сообщения.
Пофиксите при помощи hijackthis строку:
Код:
F3 - REG:win.ini: load=C:\Documents and Settings\Владимир\ssdodbc.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Владимир\ssdodbc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis. И Вы забыли сделать отчёты RSIT...
-
-
Junior Member
- Вес репутации
- 61
Файл RSIT добавил в предыдущий ответ.
Произвел скрипт и профиксил. Выложил новые логи. Ищу куда можно послать файл карантина.
Последний раз редактировалось Никита Соловьев; 08.07.2012 в 11:11.
Причина: сделал ссылку неактивной
-
Карантин получил.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\43755.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\48331.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\36998.exe','');
QuarantineFile('C:\WINDOWS\system32\svdhalp.exe.ini','');
QuarantineFile('C:\WINDOWS\system32\svdhalp.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\691503.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\582999.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\115035.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\921225.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\637053.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\888064.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\JaWa.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\groslow.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\JavaPub.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\882189.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\136688.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\961274.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\749778.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\186750.exe',' ');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\249428.exe',' ');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\irc.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\LabelRouge.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\306090.exe',' ');
QuarantineFile('C:\Documents and Settings\Владимир\ssdodbc.exe','');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\43755.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\48331.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\36998.exe');
DeleteFile('C:\WINDOWS\system32\svdhalp.exe.ini');
DeleteFile('C:\WINDOWS\system32\svdhalp.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\691503.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\582999.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\115035.ex');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\921225.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\637053.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\888064.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\JaWa.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\groslow.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\JavaPub.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\882189.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\136688.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\961274.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\749778.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\186750.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\249428.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\irc.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\LabelRouge.exe');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\306090.exe');
DeleteFile('C:\Documents and Settings\Владимир\ssdodbc.exe');
DeleteFile('C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine_2.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме. Если опять возникли проблемы с загрузкой, воспользуйтесь файлообменником, ссылку отправьте в личные сообщения.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis. И новый отчёт RSIT
Последний раз редактировалось thyrex; 08.07.2012 в 11:24.
Причина: + файлик
-
-
+ выполнить в обязательном порядке перед повторными логами
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
извините за задержку. Бытовые дряги и заодно делаю копию системных файлов, чтобы поставить обновление SP3
-
Сообщение от
Vladomir12
заодно делаю копию системных файлов, чтобы поставить обновление SP3
Зачем??? Это не требуется для установки SP3
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
По сути да, но по ходу воспользовался ссылкой на IE8, и при установке заругалась на несовместимость. При закачке дистрибутива обновления SP3, на сайте увидел распространенные проблемы и там при установке SP3 система перестала работать. Мне этого вообще не надо.
Еще раз прошу извинения за задержку.
-
Я ни разу не сталкивался с проблемами при установке SP3. На оригинальные системы он устанавливается быстро и без каких-либо проблем. Тоже могу сказать и про IE8, останется всё, включая домашнюю страницу.
Поясню, почему необходимо выполнить обновление:
XP SP2 не поддерживается Майкрософт и не получает обновлений. Безопасность остаётся на очень низком уровне. Ваша система была заражена очень большим количеством вредоносного ПО.
Если Вы готовы, мы продолжим лечение.
-
-
Junior Member
- Вес репутации
- 61
Да, я готов. Уже поставил обновление SP3, сейчас в автомате идет обновление, поэтому приходится ждать. Вот только не пойму зачем нужен IE8. У меня браузеров три штуки. Мозила, Опера, Гугл. Не совсем понятно. Если не трудно разъясните мне зачем он нужен в системе.
Спасибо.
-
Сообщение от
Vladomir12
Вот только не пойму зачем нужен IE8
Пожалуйста, я поясню:
Internet Explorer исторически является не только браузером, но и важным компонентом систем Windows. С помщью его модулей выполняется множество операций, например, активный рабочий стол. Компоненты IE используют и множество сторонних приложений, например, программа для обмена сообщениями ICQ. Даже если Вы ни разу не запускали его, элементы браузера активно используются. Разумеется, наличие "дыр" в одном из таких элементов становится отличной возможностью для проникновения вредоносных программ. Вот главная причина, по которой мы рекомендуем установить последнюю доступную версию Internet Explorer. Кроме того, версия 8 намного производительнее 6-й.
-
-
Junior Member
- Вес репутации
- 61
IE я пользовался очень давно, так сказать на заре компьютеризации. Кроме него тогда был еще только один браузер.
IE исторически всегда входил в комплект Windows. Но теперь столько всевозможных браузеров, что глаза разбегаются. Мне по душе Мозила, как то я к нему привык.Вот сейчас при обновлении становится IE8, интерфейс в браузере у меня поменялся, думаю не в лучшую сторону. Долго идет обновление. Наверное, уже только завтра смогу послать логи. (в смысле уже сегодня вечером).
-
Вы можете использовать любой браузер. Обновление IE поддерживает общий уровень защищённости. К тому же, это никак не сказывается на работе, тем более, если Вы им не пользуетесь.
-
-
Junior Member
- Вес репутации
- 61
Здравствуйте. Снова извиняюсь за большую задержку. Очень долго программа сканировала диски. Диски очень большие. В приложении все логи от программ.
-
Удалите всё, что обнаружил МВАМ.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Владимир\ssdodbc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Пофиксите при помощи hijackthis:
Код:
F3 - REG:win.ini: load=C:\Documents and Settings\Владимир\ssdodbc.exe
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ и hijackthis.
-
-
Junior Member
- Вес репутации
- 61
Чтобы удалить все, что обнаружил MBAM надо ли снова его загружать для проверки. Ведь когда я его закрывал, то все данные в нем были потеряны. Я никогда с этой программой раньше не работал. Или в ручную искать то, что расписано в логе.
Потом последовательность написанных действий важна или нет.
Спасибо.
-
Сообщение от
Vladomir12
Чтобы удалить все, что обнаружил MBAM надо ли снова его загружать для проверки.
Увы, да.
Чтобы сэкономить время, давайте сделаем так:
вместо указанных в сообщении выше действий подготовьте такой отчёт http://virusinfo.info/showthread.php?t=58309
-