Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Подозрение на вирус ywdrive32.exe [Backdoor.Win32.Androm.xst, Backdoor.Win32.Androm.xew ] (заявка № 140639)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18

    Подозрение на вирус ywdrive32.exe [Backdoor.Win32.Androm.xst, Backdoor.Win32.Androm.xew ]

    Добрый день. Бесконечно воскрешается файл ywdrive32.exe или yndrive32.exe в папке c:\windows. В процессе работы компьютера начинают появляться в автозагрузке и в диспетчере бесконечные процессы с рандомным названием *.exe и 24naq.exe. После проверки cureit'ом находит и удаляет эти процессы, но файл ywdrive32.exe остается и через некоторое время плодиться заново. Прошу помочь избавиться от этого феникса.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Elpluto, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr','');
     QuarantineFile('C:\Users\Admin\AppData\Local\Temp\2621FE6C.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
     DeleteFile('C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ca40229dd');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    ------------------
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки.
    3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    5. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.81 script [http://dsrt.dyndns.org]
      
      adddir %SystemDrive%\USERS\Admin\APPDATA\ROAMING
      crimg
    6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  5. #4
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Сделал по инструкции. Спасибо.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.80.3 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    ; C:\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WJLMLI.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WJLMLI.EXE
    ; zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WJLMLI.EXE
    bl 7DC8333713A9FCB88512DA61B099C435 141824
    addsgn A7679B1991A6676F4F4CEFB14DD576B6648AD7C3F9CB5D7884F6B58D12D6F819DF14F6BF31179D601EC0B1DD46155C06B59EE8734032BF6E2DFC91C7C8442248 8 Backdoor.Win32.Androm.xew [Kaspersky]
    
    ; C:\USERS\ADMIN\APPDATA\ROAMING\SCREENSAVERPRO.SCR
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SCREENSAVERPRO.SCR
    ; zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SCREENSAVERPRO.SCR
    bl F9DF74F65D8181CA8807BDE6103CE206 151040
    addsgn A7679B1991AAC74F833CEFB14FF59EED648AFFCBF90F5E78AEFEC17511D65A7147F68257B558E5286980AF9222F708FA7ED2649A14DAB3215D82E52FC40B3E13 8 UDS:DangerousObject.Multi.Generic
    
    ; C:\USERS\ADMIN\APPDATA\ROAMING\D171.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\D171.EXE
    ; zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\D171.EXE
    ; C:\USERS\ADMIN\APPDATA\ROAMING\TEMP.BIN
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\TEMP.BIN
    ; zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\TEMP.BIN
    addsgn A7679B1991AAC74F833CEFB14FF59EED648AFFCBF90F5E78AEFEC17511D65A7147F68257B558E5286980AF9222F708FA7ED2649A14DAB3215D82E52FC40B3E13 8 Backdoor.Win32.Androm.xst [Kaspersky]
    
    chklst
    delvir
    restart
    сделайте новый образ автозапуска.

    - Сделайте лог полного сканирования МВАМ.

  7. #6
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Выполнил скрипт и загрузил карантин (по-моему пустой).
    Сделал полный образ автозагрузки, прилепил.
    А вот при запуске Malwarebytes выдает ошибку (скрин во вложении) и ie не запускается и не удаляется (пробовал его переустановить или обновить)
    Изображения Изображения
    • Тип файла: jpg error.jpg (24.8 Кб, 9 просмотров)
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Выполните скрипт в uVS
    Код:
    ;uVS v3.80.5 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WJLMLI.EXE
    deltmp
    restart
    Компьютер перезагрузится.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    +
    quarantine.zip - удалите из вложений, для отправки карантина есть специальная ссылка вверху темы.

    Цитата Сообщение от Elpluto Посмотреть сообщение
    Выполнил скрипт и загрузил карантин (по-моему пустой).
    в вашем случае карантин лежит в
    Код:
    D:\DM\UVS\ZOO\
    6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)

  10. #9
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Прошу прощения. Прилепил карантин.
    Из обновлений после скрипта AVZ предложил только
    http://get.adobe.com/reader/otherversions/
    Но браузер IE так и не работает, обновление не помогает, удалить тоже не дает.
    Что с этим можно сделать?
    Последний раз редактировалось Elpluto; 19.06.2013 в 07:56.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Поподробнее, пожалуйста, что происходит при открытии страницы в IE?
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Не происходит ничего. При нажатии на ярлык браузера или на exe файл, компьютер не производит никаких действий.
    До этого прилеплял ошибку, где система ругалась на dll'ку ie при запуске malewarebytes.
    "Runtime error 339. Component ieframe.dll"
    Обновиться и удалить не дает. "Произошла ошибка не удалось удалить обновления"

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Да, файл c:\Windows\System32\ieframe.dll испорчен.
    Поищите этот файл в папке c:\Windows\winsxs, там их много должно быть, скопируйте самую свежую версию на место испорченного.
    WBR,
    Vadim

  14. Это понравилось:


  15. #13
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Да, файл c:\Windows\System32\ieframe.dll испорчен.
    Поищите этот файл в папке c:\Windows\winsxs, там их много должно быть, скопируйте самую свежую версию на место испорченного.
    Не удается заменить файл ieframe.dll, при попытки пишет "нет доступа или файл уже используется".
    ywdrive32 с соплеменниками вроде пропал, только видимо зашиб dll.
    Подскажите, есть ли возможность заменить dll не загружаясь с livecd?

  16. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Попробуйте в безопасном режиме.
    WBR,
    Vadim

  17. #15
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Да, файл c:\Windows\System32\ieframe.dll испорчен.
    Поищите этот файл в папке c:\Windows\winsxs, там их много должно быть, скопируйте самую свежую версию на место испорченного.
    При попытке заменить в безопасном режиме ,таже самая ошибка.

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Переименуйте c:\Windows\System32\ieframe.dll в ieframe.bak, на его место копируйте правильный, затем перегрузитесь. Должно прокатить.
    WBR,
    Vadim

  19. Это понравилось:


  20. #17
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Переименуйте c:\Windows\System32\ieframe.dll в ieframe.bak, на его место копируйте правильный, затем перегрузитесь. Должно прокатить.
    Спасибо, помог способ, описанный на youtube (http://www.youtube.com/watch?v=C5Z9ijg5TrE).
    Ie начал запускаться, но после 20 секунд работы вылетает и все равно ругается на ieframe.dll:

    Сигнатура проблемы:
    Имя события проблемы: APPCRASH
    Имя приложения: iexplore.exe
    Версия приложения: 9.0.8112.16490
    Отметка времени приложения: 51955cca
    Имя модуля с ошибкой: IEFRAME.dll
    Версия модуля с ошибкой: 9.0.8112.20600
    Отметка времени модуля с ошибкой: 519554cf
    Код исключения: c0000005
    Смещение исключения: 0006e1aa
    Версия ОС: 6.1.7601.2.1.0.256.48
    Код языка: 1049
    Дополнительные сведения 1: 0a9e
    Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789
    Дополнительные сведения 3: 0a9e
    Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789

    Перепробовал все возможные варианты этой библиотеки, ситуация не меняется, удалять и обновлять по-прежнему не дает. Очень бы не хотелось переставлять винду, может подскажите как победить?

  21. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Пробуйте 10-й установить.
    WBR,
    Vadim

  22. #19
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    9
    Вес репутации
    18
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Пробуйте 10-й установить.
    Так говорю ж не дает обновлять версию. С установщика запускаю 10 версию, не удалось установить.
    Спасибо за участие, может еще какие мысли будут?

  23. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,166
    Вес репутации
    848
    Пока нет
    WBR,
    Vadim

  • Уважаемый(ая) Elpluto, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 18.02.2013, 10:59
    2. Подозрение на вирус
      От sadugin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.07.2012, 19:48
    3. Подозрение на вирус
      От BaCbka87 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.09.2011, 11:21
    4. Подозрение на вирус.
      От n.naitovski в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.09.2011, 17:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01356 seconds with 17 queries