Показано с 1 по 12 из 12.

появляются непонятные файлы [Worm.Win32.AutoRun.iea ] (заявка № 162031)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    18.06.2014
    Сообщений
    7
    Вес репутации
    13

    появляются непонятные файлы [Worm.Win32.AutoRun.iea ]

    Компьютер стал дольше грузиться и на дисках и на флэшках появились файлы с именами состоящие из разных букв . ОС : Win7 x64 и еще не запускается реестр и в автозагрузке появились эти файлы с непонятным названием .
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Лол Лолыч, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('H:\xkvanrhmwg.bat','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\windows\Fonts\Syn.exe','');
     QuarantineFile('C:\windows\Fonts\Activation.exe','');
     QuarantineFile('C:\windows\Fonts\1.exe','');
     QuarantineFile('C:\xkvanrhmwg.bat','');
     QuarantineFile('C:\Users\Public\Libraries\Libraries.pif','');
     QuarantineFile('C:\Users\Public\Favorites\Favorites.bat','');
     QuarantineFile('C:\pgvevdxguipqri.bat','');
     QuarantineFile('C:\peryntlseqvu.bat','');
     QuarantineFile('C:\$Recycle.Bin\S-1-5-21-4023800674-441897047-1054930212-1000\$RY04KWT.pif','');
     QuarantineFile('C:\Users\Tasher\AppData\Local\Temp\yuocylkyrkwcieijvjf.exe .','');
     QuarantineFile('C:\Users\Tasher\AppData\Local\Temp\yuocylkyrkwcieijvjf.exe','');
     QuarantineFile('C:\Users\Tasher\AppData\Local\Temp\xqhslvrcsiruxqrp.exe','');
     QuarantineFile('C:\Users\Tasher\AppData\Local\Temp\lidspddsmgtahejlynkf.exe','');
     QuarantineFile('C:\Users\Tasher\AppData\Local\Temp\ayukixyojesaigmpdtrnd.exe .','');
     DeleteFile('C:\Users\Tasher\AppData\Local\Temp\ayukixyojesaigmpdtrnd.exe .','32');
     DeleteFile('C:\Users\Tasher\AppData\Local\Temp\lidspddsmgtahejlynkf.exe','32');
     DeleteFile('C:\Users\Tasher\AppData\Local\Temp\xqhslvrcsiruxqrp.exe','32');
     DeleteFile('C:\Users\Tasher\AppData\Local\Temp\yuocylkyrkwcieijvjf.exe','32');
     DeleteFile('C:\Users\Tasher\AppData\Local\Temp\yuocylkyrkwcieijvjf.exe .','32');
     DeleteFile('C:\$Recycle.Bin\S-1-5-21-4023800674-441897047-1054930212-1000\$RY04KWT.pif','32');
     DeleteFile('C:\peryntlseqvu.bat','32');
     DeleteFile('C:\pgvevdxguipqri.bat','32');
     DeleteFile('C:\Users\Public\Favorites\Favorites.bat','32');
     DeleteFile('C:\Users\Public\Libraries\Libraries.pif','32');
     DeleteFile('C:\xkvanrhmwg.bat','32');
     DeleteFile('C:\windows\Fonts\1.exe','32');
     DeleteFile('C:\windows\Fonts\Activation.exe','32');
     DeleteFile('C:\windows\Fonts\Syn.exe','32');
     DeleteFile('H:\autorun.inf','32');
     DeleteFile('H:\xkvanrhmwg.bat','32');
     DeleteFile('C:\windows\Fonts\antiblock2.dll','32');
     DeleteFile('C:\windows\Fonts\MiniObject.dll','32');     
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','peryntlseqvu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\oesaqxqylyeee','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yiqscdq','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','lubcll');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','nyhkvxlo');                     
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
     ExecuteRepair(10);
     ExecuteRepair(17);     
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O4 - HKLM\..\RunOnce: [nyhkvxlo] ayukixyojesaigmpdtrnd.exe .
    O4 - HKLM\..\RunOnce: [peryntlseqvu] C:\Users\Tasher\AppData\Local\Temp\ayukixyojesaigmpdtrnd.exe .
    O4 - HKCU\..\RunOnce: [sgsymriozko] eyqcwheqhyimqkmlv.exe .
    O4 - HKCU\..\RunOnce: [nyhkvxlo] C:\Users\Tasher\AppData\Local\Temp\yuocylkyrkwcieijvjf.exe .
    O4 - HKLM\..\Policies\Explorer\Run: [eqaeqtimv] eyqcwheqhyimqkmlv.exe
    O4 - HKLM\..\Policies\Explorer\Run: [lubcll] C:\Users\Tasher\AppData\Local\Temp\yuocylkyrkwcieijvjf.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    18.06.2014
    Сообщений
    7
    Вес репутации
    13
    Я прислал
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:
    Код:
    >>  Разрешен автозапуск с HDD
     >>  Разрешен автозапуск с сетевых дисков
     >>  Разрешен автозапуск со сменных носителей
     >>  Повреждено меню настройки отображения папок
     >>  Повреждены настройки SafeBoot
    Закройте общий сетевой доступ к этим ресурсам:

    Код:
    C:\Users
    C$
    D$
    H$
    MBAM я вам давал ссылку на версию 1.75, но вы упорно сделали лог MBAM 2.0

    В MBAM удалите (поместите в карантин) все кроме:

    Код:
    Процессы: 1
    Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2112, , [b8327506b1ca95a1d116b4df04fc8080]
    
    Файлы: 71
    Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [b8327506b1ca95a1d116b4df04fc8080], 
    Extension.Mismatch, C:\1Other\AMD\AMD_Catalyst_13.8_Beta2\Config\Splash.bmp, , [12d84734e49715211d00dbd3728ebc44], 
    Extension.Mismatch, C:\1Other\AMD\AMD_Catalyst_13.8_Beta2\Images\c.jpg, , [4e9c067597e43afcba660da1f40c669a], 
    Trojan.Dropped, C:\Users\Tasher\Downloads\ZverCDLego_9.4.4\I386\SVCPACK\DirectX.exe, , [d01af9824437fb3b2f5e871f8a770ef2], 
    Trojan.Dropped, C:\Users\Tasher\Downloads\ZverCDLego_9.4.4\I386\SVCPACK\Logo.exe, , [45a5314aafcce650474693139c657d83], 
    Trojan.Dropped, C:\Users\Tasher\Downloads\ZverCDLego_9.4.4\I386\SVCPACK\SOUNDVISTA.exe, , [42a81c5f94e766d0b3dab6f0e61bcd33], 
    PUP.RiskwareTool.CK, C:\Users\Tasher\Downloads\Adobe After Effects CS6 11.0.2.12\???µ???°N?N?N????°\amtlib.dll, , [72780e6d18631f17032d09fc5ea4d22e], 
    PUP.Keygen.Intro, C:\Users\Tasher\Downloads\Adobe After Effects CS6 11.0.2.12\???µ???°N?N?N????°\Keygen\keygen-CORE\CORE10k.EXE, , [d91195e617640b2b7eae6ba0cc384db3], 
    Trojan.Agent.CK, C:\Users\Tasher\Downloads\Adobe After Effects CS6 11.0.2.12\???µ???°N?N?N????°\Keygen\keygen-CORE\keygen.exe, , [b73395e66219d26413d91e9b5fa1c739], 
    PUP.RiskwareTool.CK, C:\Users\Tasher\Downloads\Adobe After Effects CS6 11.0.2.12\???µ???°N?N?N????°\Keygen\keygen-X-FORCE\xf-mccs6.exe, , [36b49ae1562557df96a29f54c23e7e82], 
    PUP.RiskwareTool.CK, C:\Users\Tasher\Downloads\Adobe Photoshop CS6 13.0\adobe.photoshop.cs6.beta-patch.exe, , [0dddcab1ee8ddd597d2a667c3fc1827e], 
    PUP.RiskwareTool.CK, C:\Program Files\Adobe\Adobe After Effects CS6\Support Files\amtlib.dll, , [e10918639be02b0ba58ba560cf339e62], 
    PUP.RiskwareTool.CK, C:\Program Files\Adobe\Adobe Media Encoder CS6\amtlib.dll, , [33b72259304bfa3cb779c243e41ecf31], 
    PUP.RiskwareTool.CK, C:\Program Files\Adobe\Adobe Photoshop CS6 (64 Bit)\amtlib.dll, , [7476adce88f3f640e749ae57877bfd03], 
    PUP.RiskwareTool.CK, C:\Program Files (x86)\Adobe\Adobe Photoshop CS6\amtlib.dll, , [2cbec4b7d2a90f279699f114da2843bd], 
    PUP.Hacktool, C:\Program Files (x86)\Microsoft Office\KMS\mKMSAct.exe, , [c1291269fc7faf877c7cd0eade2218e8], 
    RiskWare.Tool.HCK, D:\OLD\am\Sony Vegas Pro 11.0 Build 682_683\Keygen.exe, , [03e763186a118bab752cfcfc3bc616ea],
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    18.06.2014
    Сообщений
    7
    Вес репутации
    13
    мбам вот.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Сделайте лог быстрого сканирования MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    18.06.2014
    Сообщений
    7
    Вес репутации
    13
    Вот быстрое.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    18.06.2014
    Сообщений
    7
    Вес репутации
    13
    Все нормально Установил Dr.web , пока все чисто
    Еще AdwClener"ом удалил рекламу .

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\peryntlseqvu.bat - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      2. c:\pgvevdxguipqri.bat - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      3. c:\$recycle.bin\s-1-5-21-4023800674-441897047-1054930212-1000\$ry04kwt.pif - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      4. c:\users\public\favorites\favorites.bat - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      5. c:\users\public\libraries\libraries.pif - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      6. c:\users\tasher\appdata\local\temp\ayukixyojesaigm pdtrnd.exe . - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      7. c:\users\tasher\appdata\local\temp\lidspddsmgtahej lynkf.exe - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      8. c:\users\tasher\appdata\local\temp\xqhslvrcsiruxqr p.exe - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      9. c:\users\tasher\appdata\local\temp\yuocylkyrkwciei jvjf.exe - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      10. c:\users\tasher\appdata\local\temp\yuocylkyrkwciei jvjf.exe . - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      11. c:\xkvanrhmwg.bat - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )
      12. h:\xkvanrhmwg.bat - Worm.Win32.AutoRun.iea ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )


  • Уважаемый(ая) Лол Лолыч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На флешках появляются непонятные папки.
      От Akson в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.02.2012, 22:00
    2. В корне появляются непонятные логи
      От VlaDos в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.10.2011, 13:50
    3. Ответов: 3
      Последнее сообщение: 21.08.2010, 10:54
    4. Ответов: 31
      Последнее сообщение: 15.08.2009, 13:50
    5. Непонятные файлы
      От sthprog в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 04:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00566 seconds with 17 queries