Угроза в памяти winlogon.exe [Trojan-Dropper.Win32.Injector.fqqm ]

**Zoltrix** · 24.08.2012, 16:52

Здравствуйте!

При запуске системы, нод32 выдает такое сообщение:

Обнаружена угроза в памяти!
Объект: оперативная память = winlogon.exe(664)
Угроза: модифицированный Win32/Spy.SpyEye.Ca троянская программа
очистка невозможна

и еще при запуске появляется черное окно C:\systemhost\цифрыбуквы.exe и быстро исчезает. В тоталкомандер её не видно, хотя включена функция показывать скрытые файлы

Также при отключенном интернете каждые 10 минут выскакивает сообщение:

В данный момент подключение к Интернету отсутствует. Чтобы просматривать файлы Интернета, сохраненные на вашем компьютере, выберите "Работать автономно"
Выберите повторить попытку, чтобы повторить попытку подключения к интернету.

Делал полную проверку компа Dr.Web и Nod32, они находили 2-3 вируса которые сами же и удаляли. Однако проблема не решилась.

Очень надеюсь на Вашу помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.08.2012, 16:54

Уважаемый(ая) Zoltrix, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 24.08.2012, 18:23

Уведомление

Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe','');
  QuarantineFile('C:\systemhost\24FC2AE3C18.exe','');
  QuarantineFile('C:\WINDOWS\system32\MONEY_~1.SCR','');
  DeleteFile('C:\systemhost\24FC2AE3C18.exe');
  QuarantineFileF('C:\systemhost\','*', true,'',0 ,0);
 DeleteFileMask('C:\systemhost\', '*', true);
 DeleteDirectory('C:\systemhost\',' ');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0FYEXG1X8HF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

по окончанию лечения смените все пароли !

**Zoltrix** · 25.08.2012, 00:05

Карантин отправил.

логи почему-то не выкладываются, в управлении вложениями пишет ошибку #2038

Когда делался скан MBAM несколько раз были сообщения о предотвращении попытки доступа к вредоносному ресурсу, входящие и исходящие

**regist** · 25.08.2012, 10:53

Сообщение от Zoltrix

логи почему-то не выкладываются,

выложите их сюда http://rghost.ru/

**Zoltrix** · 25.08.2012, 11:28

avz http://rghost.ru/39990380

hijack http://rghost.ru/39990408

mbam http://rghost.ru/private/39990429/79...511d7f0b4bb1e8

**Zoltrix** · 25.08.2012, 14:23

логи одним файлом

http://rghost.ru/39992511

**regist** · 25.08.2012, 14:57

Сообщение от regist

Уведомление
Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы

базы так и не обновили, обновите базы и переделайте логи AVZ

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cedrie.com/hKkfHer2/proxy.pac

VolgaTelecom это ваш провайдер ? DNS 217.9.147.42 217.9.148.4 вам или вашему провайдеру знакомы ?

Удалите в MBAM

Код:

C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

E:\Фильмы\Kak_zagubit_biznes\Как загубить бизнес\autorun.exe проверьте на http://www.virustotal.com/ ссылку на результат проверки напишите.

смените все пароли!

- - - Добавлено - - -

жду свежие логи.

**Zoltrix** · 25.08.2012, 17:03

Сообщение от regist

базы так и не обновили, обновите базы и переделайте логи AVZ

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cedrie.com/hKkfHer2/proxy.pac

VolgaTelecom это ваш провайдер ? DNS 217.9.147.42 217.9.148.4 вам или вашему провайдеру знакомы ?

Удалите в MBAM

Код:

C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

E:\Фильмы\Kak_zagubit_biznes\Как загубить бизнес\autorun.exe проверьте на http://www.virustotal.com/ ссылку на результат проверки напишите.

смените все пароли!

- - - Добавлено - - -

жду свежие логи.

базы в AVZ не обновляются, выдает какую-то ошибку, скачивал базу с сайта z-oleg.com и загружал вручную

в HijackThis пофиксил

волгателеком мой провайдер, DNS возможно использовались раньше при подключении к интернету по технологии ADSL, сейчас у меня оптоволокно, в настройках сетевых подключений таких DNS серверов не нашел.

в МВАМ тоже удалил

ссылка на вирустотал: https://www.virustotal.com/file/df35...is/1345899215/

**Zoltrix** · 25.08.2012, 17:05

базы в AVZ не обновляются, выдает какую-то ошибку, скачивал базу с сайта z-oleg.com и загружал вручную, похоже толку от этого ноль

в HijackThis пофиксил

волгателеком мой провайдер, DNS возможно использовались раньше при подключении к интернету по технологии ADSL, сейчас у меня оптоволокно, в настройках сетевых подключений таких DNS серверов не нашел.

в МВАМ тоже удалил

ссылка на вирустотал: https://www.virustotal.com/file/df35...is/1345899215/

**Никита Соловьев** · 25.08.2012, 17:39

Сообщения содержащие ссылки, как правило, проверяются модераторами. Пожалуйста, имейте терпение.

**Zoltrix** · 28.08.2012, 16:31

Ребят нужна Ваша помощь, комп после загрузки, через пару минут виснет и перестает реагировать даже на ctrl+alt+del в диспетчере появляются непонятные процессы, загрузка ЦП скачет от 1 до 100% это все что я успел посмотреть за 2 минуты до зависания компа. После перезагрузки тоже виснет.

Добавление: удалил MBAM вроде проблема исчезла, проц не грузит, после перезапуска зависаний не было.

**CyberHelper** · 28.08.2012, 16:41

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\\systemhost\\24fc2ae3c18.exe - Trojan-Dropper.Win32.Injector.fqqm

Угроза в памяти winlogon.exe [Trojan-Dropper.Win32.Injector.fqqm ] (заявка № 123901)

Опции темы

Угроза в памяти winlogon.exe [Trojan-Dropper.Win32.Injector.fqqm ]

Уведомление

Логи

Итог лечения

Похожие темы

Обнаружена угроза в памяти...

Помогите!!! Угроза в памяти.

Обнаружена угроза в памяти..!

обнаружена угроза в памяти

угроза в памяти

Метки для этой темы

Ваши права в разделе