Показано с 1 по 14 из 14.

Подозрительные процессы в диспетчере задач, проблемы с Интернетом [Trojan.Win32.Inject.ejdr, Backdoor.Win32.Azbreg.bww ] (заявка № 122847)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43

    Подозрительные процессы в диспетчере задач, проблемы с Интернетом [Trojan.Win32.Inject.ejdr, Backdoor.Win32.Azbreg.bww ]

    Доброго времени суток! У меня несколько проблем, очень надеюсь, что Вы поможете.

    Во-первых, у меня периодически стал пропадать Интернет. То есть, после перезагрузки компьютера он работает некоторое время, затем отключается без сообщения об ошибке. Затем оформление панели задач и окон меняется на классический стиль, хотя у меня стоит другой.

    Во-вторых, я заметила подозрительные процессы в диспетчере задач: yadrive32.exe, drwtsn32.exe и др. Если их завершить, то при перезагрузке они запускаются опять. Также выскакивает сообщение об ошибке:
    16-разрядная подсистема MS-DOS
    C:/DOCUME~1/Admin/APPLIC~1/1A5.exe
    Процессор NTVDM обнаружил недопустимую инструкцию.
    CS:06e2 IP:0234 OP:63 73 73 22 3e Для завершения работы приложения нажмите кнопку "Закрыть".

    В-третьих, если подключить флешку, на ней появляются скрытые папки и файлы, которые не удаляются.
    И ещё, иногда не заходит на некоторые сайты, например: Wikipedia, Google, Youtube, Adobe, Facebook. Просто пишет, что не удаётся найти удалённый сервер.

    Вроде бы всё, прикрепляю логи. Надеюсь на помощь!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Tpycuxa, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\86.exe','');
     QuarantineFile('C:\WINDOWS\system32\82.exe','');
     QuarantineFile('C:\WINDOWS\system32\75.exe','');
     QuarantineFile('C:\WINDOWS\system32\71.exe','');
     QuarantineFile('C:\WINDOWS\system32\56.exe','');
     QuarantineFile('C:\WINDOWS\system32\54.exe','');
     QuarantineFile('C:\WINDOWS\system32\43.exe','');
     QuarantineFile('C:\WINDOWS\system32\30.exe','');
     QuarantineFile('C:\WINDOWS\system32\27.exe','');
     QuarantineFile('C:\WINDOWS\system32\26.exe','');
     QuarantineFile('C:\WINDOWS\system32\06.exe','');
     QuarantineFile('C:\WINDOWS\system32\04.exe','');
     QuarantineFile('C:\WINDOWS\system32\03.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sp_rsdrv2.sys','');
     QuarantineFile('C:\WINDOWS\yadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Wrhmhi.scr','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Wrhmhi.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wrhmhi');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tbrena');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     DeleteFile('C:\WINDOWS\yadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\03.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\06.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\30.exe');
     DeleteFile('C:\WINDOWS\system32\43.exe');
     DeleteFile('C:\WINDOWS\system32\54.exe');
     DeleteFile('C:\WINDOWS\system32\56.exe');
     DeleteFile('C:\WINDOWS\system32\71.exe');
     DeleteFile('C:\WINDOWS\system32\75.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     DeleteFile('C:\WINDOWS\system32\86.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

    + такой отчёт: http://virusinfo.info/showthread.php?t=115256

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43
    Файл сохранён как 120725_191625_quarantine_50104609948a4.zip
    Размер файла 468855
    MD5 101197a436817dbf8dabc97dc362c473

    Сейчас буду делать логи.

    - - - Добавлено - - -

    Вот логи:

  7. #5
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43
    Отчёт:

  8. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    1. Скачайте файл script.txt из вложения ниже;

    2. Откройте AVZ и щёлкните файл -> выполнить скрипт;

    3. Нажмите кнопку "загрузить" и выберите полученный файл script.txt;

    4. Нажмите кнопку "запустить"


    Компьютер перезагрузится.

    Файл quarantine_2.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Сделайте отчёт программы RSIT заново.

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43
    Файл сохранён как 120726_163140_quarantine_2_501170ec9b1b1.zip
    Размер файла 121541
    MD5 d3cab58caae64ee25e364c31cba0932a

    Отчёт:

  11. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Установите SP3 + все последующие обновления.

    Проблема решена?

  12. #9
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43
    Да, спасибо большущее! Отличный сайт. Теперь всё работает нормально.
    А SP3 - это Service Pack 3, я так понимаю? Не подскажете, как это устанавливать?

  13. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138

  14. Это понравилось:


  15. #11
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43
    Спасибо, так и сделаю.

    - - - Добавлено - - -

    А что означает: "Не нажимайте кнопку «ЗАГРУЗИТЬ», если требуется выполнить обновление только на одном компьютере" в ссылке на SP3?

  16. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Вам проще включить автоматическое обновление и Windows разберётся, что необходимо обновить.

  17. #13
    Junior Member Репутация
    Регистрация
    25.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    43
    Ладно, ещё раз благодарю.

  18. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\wrhmhi.scr - Trojan.Win32.Bublik.dpu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.677160 )
      2. c:\\documents and settings\\admin\\application data\\1b8.exe.gonewiththewings - Trojan.Win32.Inject.ejdr ( DrWEB: Trojan.Necurs.21, BitDefender: Gen:Variant.Graftor.37297 )
      3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-14699\\brenasa.exe - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 )
      5. c:\\windows\\system32\\03.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      6. c:\\windows\\system32\\04.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      7. c:\\windows\\system32\\06.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      8. c:\\windows\\system32\\26.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      9. c:\\windows\\system32\\27.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      10. c:\\windows\\system32\\30.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      11. c:\\windows\\system32\\43.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      12. c:\\windows\\system32\\48.exe - Backdoor.Win32.Azbreg.bww ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Graftor.37297 )
      13. c:\\windows\\system32\\54.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      14. c:\\windows\\system32\\56.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      15. c:\\windows\\system32\\68.exe - Backdoor.Win32.Azbreg.bww ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Graftor.37297 )
      16. c:\\windows\\system32\\71.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      17. c:\\windows\\system32\\75.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      18. c:\\windows\\system32\\82.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      19. c:\\windows\\system32\\86.exe - Backdoor.Win32.Azbreg.bsx ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Barys.5104, AVAST4: Win32:Downloader-ESB [Trj] )
      20. c:\\windows\\yadrive32.exe - Net-Worm.Win32.Kolab.bitz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.82169 )


  • Уважаемый(ая) Tpycuxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 15
      Последнее сообщение: 24.03.2011, 07:05
    2. Ответов: 3
      Последнее сообщение: 18.03.2011, 07:52
    3. Ответов: 1
      Последнее сообщение: 16.03.2011, 15:25
    4. В диспетчере задач какие то подозрительные процессы (заявка №42018)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 30.01.2011, 09:00
    5. Ответов: 31
      Последнее сообщение: 10.09.2010, 21:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00005 seconds with 19 queries