Подозрительно громкий шум ноутбука заставил меня обратить внимание на неизвестные и подозрительные процессы в диспетчере задач и выполнить проверку системы.
Прикладываю необходимые лог-файлы.
Подозрительно громкий шум ноутбука заставил меня обратить внимание на неизвестные и подозрительные процессы в диспетчере задач и выполнить проверку системы.
Прикладываю необходимые лог-файлы.
Уважаемый(ая) pyramber, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\c5de~1\appdata\local\temp\vsxyd.exe'); TerminateProcessByName('c:\users\c5de~1\appdata\local\temp\mox5o.exe'); QuarantineFile('C:\Users\Галина\AppData\Roaming\Update\MSupdate.exe',''); QuarantineFile('C:\Users\Галина\AppData\Roaming\ScreenSaverPro.scr',''); QuarantineFile('C:\Users\Галина\AppData\Roaming\Microsoft\Windows\Qikeku.exe',''); QuarantineFile('C:\Users\Галина\AppData\Roaming\Microsoft\Hikekl.exe',''); QuarantineFile('C:\Users\Галина\AppData\Roaming\Dikekh.exe',''); QuarantineFile('C:\Users\C5DE~1\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('c:\users\c5de~1\appdata\local\temp\vsxyd.exe',''); QuarantineFile('c:\users\c5de~1\appdata\local\temp\mox5o.exe',''); DeleteFile('c:\users\c5de~1\appdata\local\temp\mox5o.exe','32'); DeleteFile('c:\users\c5de~1\appdata\local\temp\vsxyd.exe','32'); DeleteFile('C:\Users\C5DE~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Users\Галина\AppData\Roaming\Dikekh.exe','32'); DeleteFile('C:\Users\Галина\AppData\Roaming\Microsoft\Hikekl.exe','32'); DeleteFile('C:\Users\Галина\AppData\Roaming\Microsoft\Windows\Qikeku.exe','32'); DeleteFile('C:\Users\Галина\AppData\Roaming\ScreenSaverPro.scr','32'); DeleteFile('C:\Users\Галина\AppData\Roaming\Update\MSupdate.exe','32'); ExecuteSysClean; ExecuteWizard('TSW',3,3,true); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS, выполняйте с пункта 2. инструкции. Внимание, полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z, дополнительно упаковывать или перепаковывать в другой формат не нужно.
Последний раз редактировалось Vvvyg; 25.07.2014 в 12:11.
WBR,
Vadim
Благодарю за ответ.
Запрошенный карантин выслан.
Образ автозапуска прикладываю.
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.83 BETA 10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref %SystemDrive%\USERS\ГАЛИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\QIKEKU.EXE deltmp delnfr restart
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Благодарю за помощь!
Об антивирусе задумайтесь, зловред был тривиальный.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\users\c5de~1\appdata\local\temp\adobe\reader_sl .exe - Worm.Win32.Ngrbot.agcz ( BitDefender: Trojan.GenericKD.1775711, AVAST4: Win32:Malware-gen )
- c:\users\c5de~1\appdata\local\temp\mox5o.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Trojan.Heur.RP.kiW@am3IsNg, AVAST4: Win32:Malware-gen )
- c:\users\c5de~1\appdata\local\temp\vsxyd.exe - Trojan.Win32.Bublik.crgd ( BitDefender: Trojan.GenericKD.1773623, AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\галина\appdata\roaming\microsoft\windows\ qikeku.exe - Backdoor.Win32.Azbreg.aagz ( BitDefender: Gen:Variant.Zusy.99360, AVAST4: Win32:Malware-gen )
- c:\users\галина\appdata\roaming\update\msupdate.ex e - Trojan.Win32.Bublik.crgd ( BitDefender: Trojan.GenericKD.1773623, AVAST4: Win32:Dropper-gen [Drp] )
Уважаемый(ая) pyramber, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.