Показано с 1 по 8 из 8.

Много вирусов на компьютере. Заменяют explorer.exe и т.д. [not-a-virus:RemoteAdmin.Win32.WinVNC.gc ] (заявка № 168347)

  1. #1
    Junior Member Репутация
    Регистрация
    15.11.2011
    Сообщений
    17
    Вес репутации
    23

    Много вирусов на компьютере. Заменяют explorer.exe и т.д. [not-a-virus:RemoteAdmin.Win32.WinVNC.gc ]

    Добрый день!

    Вирусы видно сразу. В автозагрузке много exe шников с иероглифами. explorer.exe запускается не из своего места и т.д. Полная проврка на вирусы находит их, лечит и удаляет, но после перезагрузки все заново. Автозагрузку чистил. Лечу вирусы удаленно, загрузиться в безопасном или с лайв СИДИ нет возможности.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Roman_915, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WINDOWS\system32\svсhost.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('c:\documents and settings\user\wuaucldt.exe','');
     QuarantineFile('C:\ma_e\ti_si_smece\norah.exe','');
     QuarantineFile('C:\Temp\Adobe\Reader_sl.exe','');
     QuarantineFile('C:\Temp\KB214646687.exe','');
     QuarantineFile('C:\WINDOWS\SysWOW64\svсhost.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-8441\1p1117r8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-84167181\137rtr8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-8416181\13rtr8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe','');
     QuarantineFile('C:\Temp\227F885B-FED7ADD5-9B276977-2CF37962\5O7yqvTAVba.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-166110941\z6106911.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18115371\1dr608.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186600441\1d167r8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186771\177d167r8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-84112131\13gaa17r8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-135723581\z177ss61.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1352841\z6222s61.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1351881\z6yys61.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13152841\z62122s61.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13518811\z621yys61.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13141841\z621311.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131521841\z623441.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131141841\z6421311.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131110941\z610911.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11818371\1d45081.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-118183711\15y081.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-118115371\1dbr608.exe','');
     QuarantineFile('C:\Program Files\Common Files\CreativeAudio\ofvjkphyr.exe','');
     QuarantineFile('C:\Program Files\Common Files\CreativeAudio\nrmhzdjtb.exe','');
     QuarantineFile('C:\Documents and Settings\user\Application Data\VOLGOGRAD\unvise32.exe','');
     QuarantineFile('C:\Documents and Settings\user\Application Data\Identities\Joxwxf.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\mslpt.exe','');
     TerminateProcessByName('c:\temp\et7xu.exe');
     QuarantineFile('c:\temp\et7xu.exe','');
     QuarantineFile('c:\windows\system32\startservice.exe','');
     TerminateProcessByName('c:\documents and settings\user\application data\volgograd\explorer.exe');
     QuarantineFile('c:\documents and settings\user\application data\volgograd\explorer.exe','');
     DeleteFile('c:\documents and settings\user\application data\volgograd\explorer.exe','32');
     DeleteFile('c:\temp\et7xu.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\mslpt.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','11257504');
     DeleteFile('C:\Documents and Settings\user\Application Data\Identities\Joxwxf.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Joxwxf');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe');
     DeleteFile('C:\Documents and Settings\user\Application Data\VOLGOGRAD\unvise32.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\unvise32.exe','command');
     DeleteFile('C:\Program Files\Common Files\CreativeAudio\nrmhzdjtb.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     DeleteFile('C:\Program Files\Common Files\CreativeAudio\ofvjkphyr.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-118115371\1dbr608.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2drb8v0','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-118183711\15y081.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2d47u1v0');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2d45g11v0');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11818371\1d45081.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131110941\z610911.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e611093a','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131141841\z6421311.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e61453a','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e614144a','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e6722344a','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131521841\z623441.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13141841\z621311.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13518811\z621yys61.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13152841\z62122s61.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e6721ta','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e67u21uta','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1351881\z6yys61.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1352841\z6222s61.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e672ta','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-135723581\z177ss61.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e771s3a','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e6116093a','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2dr8v0','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2pd16600','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\27700','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23gaa1q8','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-84112131\13gaa17r8.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186771\177d167r8.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186600441\1d167r8.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18115371\1dr608.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-166110941\z6106911.exe','32');
     DeleteFile('C:\Temp\227F885B-FED7ADD5-9B276977-2CF37962\5O7yqvTAVba.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23456g7dq8','command');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','23456g7dq8');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6p41588','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23dqrrt','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2p2qrrt','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23gerrt','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2p2qr1r1t','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23r7tr2q8','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23rtr2q8','command');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-8416181\13rtr8.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-84167181\137rtr8.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-8441\1p1117r8.exe','32');
     DeleteFile('C:\Temp\KB214646687.exe','32');
     DeleteFile('C:\Temp\Adobe\Reader_sl.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftSfCnt','command');
     DeleteFile('C:\ma_e\ti_si_smece\norah.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YoungBlood','command');
     DeleteFile('c:\documents and settings\user\wuaucldt.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wuaucldt','command');
     DeleteFile('C:\WINDOWS\system32\regedit.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32','command');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9); 
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    15.11.2011
    Сообщений
    17
    Вес репутации
    23
    Вложил

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Лог МВАМ где?

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\WINDOWS\system32\svсhost.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-118118311\1vc0831.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11818311\15y0831.exe','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Service Host Controller');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11818311\15y0831.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-118118311\1vc0831.exe','32');
     DeleteFile('C:\WINDOWS\system32\svсhost.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9); 
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    15.11.2011
    Сообщений
    17
    Вес репутации
    23
    Вложил. Лог МВАМ не могу приложить. После установки программа не запускается.
    Последний раз редактировалось Roman_915; 12.10.2014 в 15:46.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
     begin
    SetAVZPMStatus(True);
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\user\application data\volgograd\explorer.exe - Trojan.Win32.Badur.jmrw ( DrWEB: Trojan.DownLoader5.33266, BitDefender: Gen:Variant.Zusy.110030, AVAST4: Win32:Inject-BJP [Trj] )
      2. c:\program files\common files\creativeaudio\nrmhzdjtb.exe - Trojan.Win32.Yakes.gpns ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1914229, AVAST4: Win32:Malware-gen )
      3. c:\recycler\s-1-5-21-0243556031-888888379-781862338-11818371\1d45081.exe - Trojan-Proxy.Win32.Lethic.cer ( DrWEB: Trojan.Betabot.3, BitDefender: Gen:Variant.Kazy.470839, AVAST4: Win32:Injector-CCL [Trj] )
      4. c:\recycler\s-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe - Worm.Win32.Hamweq.pyn ( DrWEB: Trojan.DownLoader5.33266, BitDefender: Gen:Variant.Zusy.110030, AVAST4: Win32:Inject-BJP [Trj] )
      5. c:\temp\adobe\reader_sl.exe - Backdoor.Win32.Ruskill.zfi ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1914246, AVAST4: Win32:Injector-CCL [Trj] )
      6. c:\windows\system32\svсhost.exe - not-a-virus:RemoteAdmin.Win32.WinVNC.gc ( NOD32: Win32/WinVNC-based.NAA trojan )


  • Уважаемый(ая) Roman_915, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Много вирусов в компьютере
      От pers200590 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.04.2012, 10:15
    2. Ярлыки заменяют папки
      От Алексей Ермолин в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.06.2011, 22:31
    3. Ответов: 6
      Последнее сообщение: 07.04.2011, 23:41
    4. Ответов: 1
      Последнее сообщение: 10.10.2009, 19:01
    5. Ответов: 5
      Последнее сообщение: 07.03.2009, 14:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01072 seconds with 16 queries