Показано с 1 по 19 из 19.

WinAvXX.exe дубль 2 (заявка № 13903)

  1. #1
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60

    Thumbs up WinAvXX.exe дубль 2

    Нашёл сходную тему, но в моём случае ситация позапущенней. Вот только что появился ещё один раздражающий эффект - каждые полминуты страница становиться неактивной и если печатать в это время то и не заметишь, что буквы на странице не появляються...
    вместо winavxx.exe u printer.exe появляються winter.exe proper.exe итд. + иногда бешенно летит входящий траффик, когда ничего не закачиваеться.
    пс: заранее спасибо!

    edit: прошу прощения за нубство, не получаеться прикрепить логи, прикреплял при создании темы и при попытке редактировния, не даёт...
    Последний раз редактировалось Elessar; 06.11.2007 в 16:17. Причина: логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    в статистике вложений они отображались как загруженные и при повторном действии выдавалась ошибка загрузки
    Вложения Вложения

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\proper.exe','');
     QuarantineFile('C:\WINDOWS\system32\winter.exe','');
     QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autos.exe','');
     QuarantineFile('C:\WINDOWS\xlavba8.exe','');
     QuarantineFile('C:\WINDOWS\wesre.exe ','');
     QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
      ClearHostsFile;
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  5. #4
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    архив послал

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Trojan-Downloader.Win32.Wixud.i c:\windows\xlavba8.exe
    Trojan-Spy.Win32.Keyloger.rp C:\WINDOWS\wesre.exe
    Backdoor.Win32.Small.cls C:\WINDOWS\system32\bronto.dll
    Trojan.Win32.Qhost.ue C:\WINDOWS\system32\proper.exe
    Trojan.Win32.Qhost.ue C:\WINDOWS\system32\winter.exe
    not-a-virus:Hoax.Win32.Renos.lq -C:\WINDOWS\system32\sulimo.dat

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ..
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\proper.exe');
     DeleteFile('C:\WINDOWS\system32\winter.exe');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autos.exe');
     DeleteFile('C:\WINDOWS\xlavba8.exe');
     DeleteFile('C:\WINDOWS\wesre.exe ');
     DeleteFile('C:\WINDOWS\system32\bronto.dll');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи...

  8. #7
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    вот новые логи
    кстати, после перезагрузки домашняя страница каждый раз изменяеться на гугел.ком
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Сначала пофиксьте в HiJackThis:
    Код:
    O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
    O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
    O4 - Startup: infos.exe
    O4 - Global Startup: autos.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Затем, не перегружаясь, выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
     QuarantineFile('C:\WINDOWS\system32\proper.exe','');
     QuarantineFile('C:\WINDOWS\system32\winter.exe','');
     QuarantineFile('C:\Documents and Settings\A-Bode\Главное меню\Программы\Автозагрузка\infos.exe','');
     DeleteFile('C:\Documents and Settings\A-Bode\Главное меню\Программы\Автозагрузка\infos.exe');
     DeleteFile('C:\WINDOWS\system32\winter.exe');
     DeleteFile('C:\WINDOWS\system32\proper.exe');
     DeleteFile('C:\WINDOWS\system32\bronto.dll');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Затем повторите лог...

  10. #9
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    ...
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    практически чисто ..... осталось прибрать мусор ...
    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DelCLSID('D27987B8-7244-4DE0-AE10-39B826B492F1');
     DeleteFile('C:\WINDOWS\system32\bronto.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог HijackThis

  12. #11
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    выполнил
    прикрепляю новый лог Hijack + логи avz, так как проблема осталась и даже переросла в более неприятную форму
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    ...
    отключите Восстановление системы ....
    не вижу никаких проблем ...

  14. #13
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    отключение системы как и описывалось в подобной теме, невозможно (по крайней мере известными мне способами, мб через реестр можно)

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скрипт ... сначала выполните ...

  16. #15
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    уже -)

    Добавлено через 1 минуту

    при поверхностном осмотре все негативные эффекты исчезли
    Огромное вам Спасибо! дайте ссылку, где поставить пару жирных плюсиков вам в рейтинг =)))
    Последний раз редактировалось Elessar; 06.11.2007 в 22:18. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  18. #17
    Junior Member Репутация
    Регистрация
    28.10.2007
    Адрес
    С-Пб
    Сообщений
    42
    Вес репутации
    60
    отправил надеюсь, помог
    хотя несколько раз во время скрипта выдавал:
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка


    Добавлено через 3 минуты

    хотелось бы также проконсультироваться, как сделать чтобы не загружались при включении в диспетчере такие процессы как spoolsv.exe wdfmgr.exe и NVSVC32.exe, ибо считаю их малозначительными (поправьте, если не прав)
    Последний раз редактировалось Elessar; 06.11.2007 в 22:40. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Это системные процессы

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autos.exe - Trojan.Win32.Qhost.ue (DrWEB: Trojan.Fakealert.365)
      2. c:\\windows\\system32\\bronto.dll - Backdoor.Win32.Small.cls (DrWEB: Trojan.QuerySpy)
      3. c:\\windows\\system32\\proper.exe - Trojan.Win32.Qhost.ue (DrWEB: Trojan.Fakealert.365)
      4. c:\\windows\\system32\\sulimo.dat - Hoax.Win32.Renos.lq (DrWEB: Trojan.Fakealert.357)
      5. c:\\windows\\system32\\winter.exe - Trojan.Win32.Qhost.ue (DrWEB: Trojan.Fakealert.365)
      6. c:\\windows\\wesre.exe - Trojan-Spy.Win32.KeyLogger.rp (DrWEB: BackDoor.Bulknet)
      7. c:\\windows\\xlavba8.exe - Trojan-Downloader.Win32.Wixud.i (DrWEB: Trojan.LowZones.695)


  • Уважаемый(ая) Elessar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. У меня тоже WinAvXX
      От nester в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:36
    2. Избавиться от - WinAvXX ?
      От Androidwww в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:36
    3. WinAvXX
      От r2d2 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:29
    4. Пожалуйста помогите! Вначале был WinAVXX...
      От Blindy в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:21
    5. winAvXX.exe и printer.exe не удаляются...
      От Antonnio в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.09.2007, 10:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01320 seconds with 20 queries