Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

не помогает ни один анти-вирус [Trojan.Win32.Jorik.IRCbot.qrq, Trojan.Win32.Jorik.Nrgbot.afp ] (заявка № 123375)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21

    не помогает ни один анти-вирус [Trojan.Win32.Jorik.IRCbot.qrq, Trojan.Win32.Jorik.Nrgbot.afp ]

    Нашел подобные проблемы в некоторых темах, а именно, появление процессов типа 1.exe 13.exe и т.д., соединение с интернетом не пропадает но перестают открываться сайты, иногда при загрузке exeplorer.exe не запускается, ну и торможение системы. Сначала поставил нод32, эффекта ноль, нашел пару троянов и зараженных файлов в папке windows с названием 65.exe и т.д., пользуюсь акронисом, октатывал систему пару раз, тоже не помогло. Касперским проверял 3 раза, все время находил похожие файлы, но после пары перезагрузок все возвращается. Вообщем последняя надежда на Вас.
    virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) Роман Шинкаренко, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,678
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WINDOWS\system32\62.exe','');
     QuarantineFile('C:\WINDOWS\system32\36.exe','');
     QuarantineFile('C:\WINDOWS\system32\32.exe','');
     QuarantineFile('C:\WINDOWS\system32\15.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\websv.exe','');
     QuarantineFile('C:\WINDOWS\yadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\Fljijn.scr','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\1.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\1.exe');
     DeleteFile('C:\Documents and Settings\User\Application Data\Fljijn.scr');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fljijn');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON');
     DeleteFile('C:\WINDOWS\yadrive32.exe');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\websv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\15.exe');
     DeleteFile('C:\WINDOWS\system32\32.exe');
     DeleteFile('C:\WINDOWS\system32\36.exe');
     DeleteFile('C:\WINDOWS\system32\62.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Установите все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    Делал сканирование MBAM 3 раза, все три раза он повисал практически на одном и том же месте, на файлах из папки с игрой League of legends. IE8 установил и обновления сделал.
    virusinfo_syscheck.ziphijackthis.logvirusinfo_syscure.zip

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    116
    Роман Шинкаренко,
    Здравствуйте!

    1. Отключите временно Антивирус/Фаервол.

    2. Выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\17.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
     DeleteFile('C:\WINDOWS\system32\17.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После перезагрузки!


    3. Выполните скрипт в AVZ

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    Сделайте лог AVZ + лог RSIT

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,678
    Вес репутации
    3028
    Запустите проверку МВАМ, отметив только диск С. Очень надеюсь, что игрушка установлена на другой диск
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    116
    Роман Шинкаренко, Здравствуйте!

    1. Отключите временно Антивирус/Фаервол.

    2. Выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFileF('C:\Documents and Settings\User\Application Data\', '*.gonewiththewings', false, '', 0, 0);
     DeleteFileMask('C:\Documents and Settings\User\Application Data\', '*.gonewiththewings', false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    После перезагрузки!


    3. Выполните скрипт в AVZ

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Подготовьте лог RSIT

  10. #9
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    Сканирование MBAM диска "C" mbam-log-2012-08-10 (19-34-01).txt

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    116
    Роман Шинкаренко,

    1. Удалите все кроме!


    Код:
    Обнаруженные ключи в реестре:  1
    HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
    
    C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Plugins\wlx\Media Show\MScontrol.exe (Trojan.Agent.H) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\CrackDown\CrackDown.exe (CrackTool.Agent) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\EditPlus\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\Hide IP Platinum\регистрация.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\MyProxy\loader.exe (Trojan.Downloader) -> Действие не было предпринято.
    2. Что с проблемой?

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    лог RSIT log.txt

    - - - Добавлено - - -

    Цитата Сообщение от Дeнис Посмотреть сообщение
    Роман Шинкаренко,

    1. Удалите все кроме!


    Код:
    Обнаруженные ключи в реестре:  1
    HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
    
    C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Plugins\wlx\Media Show\MScontrol.exe (Trojan.Agent.H) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\CrackDown\CrackDown.exe (CrackTool.Agent) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\EditPlus\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\Hide IP Platinum\регистрация.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\MyProxy\loader.exe (Trojan.Downloader) -> Действие не было предпринято.
    2. Что с проблемой?
    Прошу меня извинить, но я не понял что нужно сделать в первом пункте, если Вас не затруднит, напишите конкретнее.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    116

  14. #13
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    После дня использования, с вероятностью 99%, могу сказать что проблема устранена, не знаю как для Вас, но для меня это был непобедимый вирус поэтому я очень рад, надеюсь Вы тоже рады

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,678
    Вес репутации
    3028
    Новый лог МВАМ пришлите все-таки
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. Это понравилось:


  17. #15
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    прошу меня простить за столь длительный ответ.....mbam-log-2012-08-15 (19-22-15).txt

  18. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    116
    Роман Шинкаренко,

    1. Удалите в MBAM все кроме

    Код:
    C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Plugins\wlx\Media Show\MScontrol.exe (Trojan.Agent.H) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\CrackDown\CrackDown.exe (CrackTool.Agent) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\EditPlus\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\Hide IP Platinum\регистрация.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Program Files\Total Commander Podarok Edition\Programm\MyProxy\loader.exe (Trojan.Downloader) -> Действие не было предпринято.
    2. Что с проблемой?

  19. #17
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    На мой взгляд, проблема устранена и на данный момент ничего не беспокоит, кроме двух процессов Apache.exe и ati2evxx.exe которых по два, но сказать точно не могу, было ли их всегда по два или нет. Может после этих проблем с вирусами я стал слишком мнительным... Вам огромное спасибо за помощь, отличный форум, успехов в вашем добром деле

  20. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    116
    Роман Шинкаренко, Это легитимные процессы, беспокоиться не о чем!
    Последний раз редактировалось Никита Соловьев; 15.08.2012 в 20:35.

  21. Это понравилось:


  22. #19
    Junior Member (OID) Репутация
    Регистрация
    08.08.2012
    Сообщений
    13
    Вес репутации
    21
    Опять беда.

    Сделал откат акронисом, и все симптомы вернулись.

    hijackthis.logvirusinfo_syscure.zipvirusinfo_syscheck.zip

  23. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,678
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\WINDOWS\system32\05.exe','');
     QuarantineFile('C:\WINDOWS\system32\44.exe','');
     QuarantineFile('C:\WINDOWS\yodrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
     QuarantineFile('C:\Documents and Settings\User\winop.exe','');
     QuarantineFile('C:\Documents and Settings\User\ascXAud.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\Fljijn.scr','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\203.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\203.exe');
     DeleteFile('C:\Documents and Settings\User\Application Data\Fljijn.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fljijn');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
     DeleteFile('C:\Documents and Settings\User\ascXAud.exe');
     DeleteFile('C:\Documents and Settings\User\winop.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MEVEQTY5QTBEMzU1QUJENU');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
     DeleteFile('C:\WINDOWS\yodrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\44.exe');
     DeleteFile('C:\WINDOWS\system32\05.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Устанавливайте обновления заново

    Сделайте новые логи

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  24. Это понравилось:


  • Уважаемый(ая) Роман Шинкаренко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 11.04.2010, 22:21
    2. Вирус срубил И-нет!!!Все анти не видят!!!
      От zawall в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2010, 17:25
    3. Не помогает ни один антивирус
      От Risenna в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.07.2009, 11:36
    4. Анти-антивирусный вирус+ китайцы
      От truepak в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.05.2009, 21:51
    5. Странный рабочий стол или юморной (анти)вирус
      От Synthetic_God в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 07:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01280 seconds with 17 queries