Junior Member
Вес репутации
43
explorer.exe грузит процессор на 100% [Trojan.Win32.Jorik.IRCbot.qnz, Trojan.Win32.Jorik.Androm.vi
]
Здравствуйте.
Проблема в то что, eplorer.exe при загрузке компьютера грузит систему на 100% что бы система загрузилась приходится убивать процесс, после открывается куча процессов IEXPLORE.exe,следом непонятные процессы типа: A.exe, B.exe, 1.exe, 28.exe и т.д.Так же каспер запрещает постоянно explorer.exe заходить на какие то сайты.Проверял касперским находил кучу UDS:DangerousObject.Multi.Generic и пару троянов.Проблема схожа с http://virusinfo.info/showthread.php?t=121851
Вложения
Последний раз редактировалось Никита Соловьев; 15.08.2012 в 21:40 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) sanek123 , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
sanek123 ,
Здравствуйте!
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Александр\application data\b.exe');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\wrdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\RECYCLER\logon.exe','');
QuarantineFile('c:\documents and settings\Александр\application data\b.exe','');
QuarantineFileF('C:\WINDOWS\system32\config\systemprofile\', '*', true, '', 0, 0);
DeleteFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr');
DeleteFile('C:\Documents and Settings\Александр\Application Data\B.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\RECYCLER\logon.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\wrdrive32.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы .
4. Пофиксите в HijackThis :
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://113890url.displayadfeed.com/cpv.jsp?p=113890&aid=10036145&partnerMin=0.00&ron=on&ronMin=0.00&url=&context=&default=http://cpvback.ols30.t6
Сделайте лог AVZ + лог RSIT
Последний раз редактировалось Дeнис; 15.08.2012 в 15:42 .
Junior Member
Вес репутации
43
Всё зделал.ещё 1 проблема компьютер не хочет перезагружатся, все программы закрываются остаётся заставка и не чего не происходит.explorer перестал грузить, но куча не понятных процессов и IEXPLORE остались.Мне приходится закрывать подозрительные процессы так как с ними комп виснет и интеренет перестаёт функцианировать, можно атк делать?кстати на kaspersky.ru не заходит).
Вложения
Последний раз редактировалось sanek123; 15.08.2012 в 16:21 .
sanek123 , 1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\fonts\desktop.ini','');
QuarantineFile('C:\WINDOWS\system32\83.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\12.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\15.exe','');
QuarantineFileF('C:\Documents and Settings\Александр\Application Data\', '*.gonewiththewings', true, '', 0, 0);
QuarantineFile('C:\WINDOWS\wrdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\63.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Adobe\TaskViewer.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsv.exe','');
QuarantineFile('C:\WINDOWS\yodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\Adobe\WinManager.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\16.exe','');
DeleteFile('C:\WINDOWS\fonts\desktop.ini');
DeleteFile('C:\WINDOWS\system32\83.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\12.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\15.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\16.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\Adobe\WinManager.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\yodrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsv.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Adobe\TaskViewer.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\wrdrive32.exe');
DeleteFileMask('C:\Documents and Settings\Александр\Application Data\', '*.gonewiththewings', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
end.
Файл quarantine_2.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы .
Сделайте повторные логи AVZ + RSIT!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
43
Сделал скрипт перестала работать опера (erorr initializing Opera: module 81(webserver))не могу сделать MBAM -видимо блокирует сайт.На майкрософт сайт заходит но скачать я не чего не могу.
Вложения
Последний раз редактировалось sanek123; 15.08.2012 в 20:43 .
sanek123 ,
1. Выполните скрипт в AVZ при наличии доступа в интернет:
_____________
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
_______________
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. .
2. Отключите временно Антивирус/Фаервол.
3. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Александр\Application Data\B.exe','');
QuarantineFile('C:\WINDOWS\wrdrive32.exe','');
QuarantineFile('C:\WINDOWS\yodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\C.exe','');
DeleteFile('C:\Documents and Settings\Александр\Application Data\B.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\C.exe');
DeleteFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\yodrive32.exe');
DeleteFile('C:\WINDOWS\wrdrive32.exe');
DeleteFileMask('C:\Documents and Settings\Александр\Application Data', '*.gonewiththewings', true);
DeleteFileMask('C:\Documents and Settings\Александр\Application Data\Help', '*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки!
4. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы .
5.
Сделайте лог AVZ + лог RSIT
6. Оперу переустановите (после лечения конечно же)
Junior Member
Вес репутации
43
Обновления не устанавливаются по сылке заходит на сайт, но когда нажимаеш загрузить страницу не грузит.
Опера не удаляется по той же причине.А вирусов в диспечере всё больше и больше с новыми именами.
Вложения
sanek123 ,
1. Выполните скрипт в AVZ
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 20000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\02.scr','');
QuarantineFile('C:\WINDOWS\wrdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr','');
QuarantineFileF('C:\Documents and Settings\Александр\Application Data\', '*.exe', false, '', 0, 0
DeleteFile('C:\Documents and Settings\Александр\Application Data\ScreenSaver.scr');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\wrdrive32.exe');
DeleteFile('C:\WINDOWS\system32\02.scr');
DeleteFileMask('C:\Documents and Settings\Александр\Application Data\', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки!
2. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы .
Сделайте лог AVZ + лог RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 122 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\александр\\application data\\a.exe.gonewiththewings - Trojan.Win32.Jorik.IRCbot.qlu c:\\documents and settings\\александр\\application data\\b.exe.gonewiththewings - Trojan.Win32.Jorik.Androm.vl ( DrWEB: Trojan.FakeAV.11638 ) c:\\documents and settings\\александр\\application data\\c.exe.gonewiththewings - Trojan.Win32.Jorik.Androm.vj c:\\documents and settings\\александр\\application data\\d.exe.gonewiththewings - Trojan.Win32.Jorik.Tedroo.bop ( DrWEB: Trojan.Siggen4.15463, BitDefender: Gen:Variant.Kazy.9656 ) c:\\documents and settings\\александр\\application data\\e.exe.gonewiththewings - Trojan.Win32.Jorik.IRCbot.qlu ( DrWEB: BackDoor.IRC.Bot.166 ) c:\\documents and settings\\александр\\application data\\fb.exe.gonewiththewings - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 ) c:\\documents and settings\\александр\\application data\\fd.exe.gonewiththewings - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 ) c:\\documents and settings\\александр\\application data\\fe.exe.gonewiththewings - Trojan.Win32.Jorik.Mokes.bst ( DrWEB: Trojan.FakeAV.11629 ) c:\\documents and settings\\александр\\application data\\f.exe.gonewiththewings - Trojan.Win32.Jorik.IRCbot.qnz ( DrWEB: BackDoor.IRC.Bot.166 ) c:\\documents and settings\\александр\\application data\\f7.exe.gonewiththewings - Trojan.Win32.Jorik.Tedroo.bop ( DrWEB: Trojan.Siggen4.15463, BitDefender: Gen:Variant.Kazy.9656 ) c:\\documents and settings\\александр\\application data\\f8.exe.gonewiththewings - Trojan.Win32.Jorik.IRCbot.qlu ( DrWEB: BackDoor.IRC.Bot.166 ) c:\\documents and settings\\александр\\application data\\recycler\\logon.exe - Trojan.Win32.Jorik.Androm.vk ( DrWEB: BackDoor.Gurl.2 ) c:\\documents and settings\\александр\\application data\\screensaver.scr - Trojan.Win32.Jorik.Androm.vl ( DrWEB: Trojan.FakeAV.11638 ) c:\\documents and settings\\александр\\application data\\screensaver.scr - Trojan.Win32.Jorik.Androm.vi ( DrWEB: Trojan.FakeAV.11652 ) c:\\documents and settings\\александр\\application data\\sys32.exe.gonewiththewings - Trojan.Win32.Jorik.Nrgbot.ahn c:\\documents and settings\\александр\\application data\\10.exe.gonewiththewings - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 ) c:\\documents and settings\\александр\\application data\\11.exe.gonewiththewings - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 ) c:\\documents and settings\\александр\\application data\\12.exe.gonewiththewings - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 ) c:\\documents and settings\\александр\\application data\\13.exe.gonewiththewings - Trojan.Win32.Jorik.Mokes.bst ( DrWEB: Trojan.FakeAV.11629 ) c:\\documents and settings\\александр\\application data\\14.exe.gonewiththewings - Trojan.Win32.Jorik.IRCbot.qnz ( DrWEB: BackDoor.IRC.Bot.166 ) c:\\documents and settings\\александр\\application data\\15.exe.gonewiththewings - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 ) c:\\documents and settings\\александр\\application data\\16.exe.gonewiththewings - Trojan.Win32.Jorik.Tedroo.bop ( DrWEB: Trojan.Siggen4.15463, BitDefender: Gen:Variant.Kazy.9656 ) c:\\documents and settings\\александр\\application data\\17.exe.gonewiththewings - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 ) c:\\documents and settings\\александр\\application data\\18.exe.gonewiththewings - Trojan.Win32.Jorik.Mokes.bst ( DrWEB: Trojan.FakeAV.11629 ) c:\\documents and settings\\александр\\application data\\19.exe.gonewiththewings - Trojan.Win32.Jorik.Tedroo.bop ( DrWEB: Trojan.Siggen4.15463, BitDefender: Gen:Variant.Kazy.9656 ) c:\\documents and settings\\александр\\application data\\4.exe.gonewiththewings - Trojan.Win32.Jorik.Androm.vi ( DrWEB: Trojan.FakeAV.11652 ) c:\\documents and settings\\александр\\application data\\7.exe.gonewiththewings - Trojan.Win32.Jorik.Androm.vi ( DrWEB: Trojan.FakeAV.11652 ) c:\\documents and settings\\александр\\application data\\8.exe.gonewiththewings - Trojan.Win32.Jorik.Tedroo.bop ( DrWEB: Trojan.Siggen4.15463, BitDefender: Gen:Variant.Kazy.9656 ) c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\hostsv.exe - Trojan.Win32.Jorik.IRCbot.qrq ( DrWEB: BackDoor.Ddoser.131 ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-14699\\brenasa.exe - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 ) c:\\windows\\system32\\config\\systemprofile\\appl ication data\\adobe\\taskviewer.exe - Trojan.Win32.Jorik.IRCbot.pzx ( DrWEB: BackDoor.Gurl.2 ) c:\\windows\\system32\\06.exe - Trojan.Win32.Jorik.Androm.vk ( DrWEB: BackDoor.Gurl.2 ) c:\\windows\\system32\\12.exe - Trojan.Win32.Jorik.Androm.vk ( DrWEB: BackDoor.Gurl.2 ) c:\\windows\\system32\\15.exe - Trojan.Win32.Jorik.IRCbot.qew ( DrWEB: BackDoor.Gurl.2 ) c:\\windows\\system32\\63.exe - Trojan.Win32.Jorik.IRCbot.qrq ( DrWEB: BackDoor.Ddoser.131 ) c:\\windows\\system32\\83.exe - Trojan.Win32.Jorik.IRCbot.pzx ( DrWEB: BackDoor.Gurl.2 ) c:\\windows\\system32\\84.exe - Trojan.Win32.Jorik.IRCbot.qew ( DrWEB: BackDoor.Gurl.2 ) c:\\windows\\wrdrive32.exe - Trojan.Win32.Jorik.IRCbot.qnz ( DrWEB: BackDoor.IRC.Bot.166 ) c:\\windows\\yodrive32.exe - Trojan.Win32.Jorik.IRCbot.qlu ( DrWEB: BackDoor.IRC.Bot.166 )