Не запускаются файлы EXE [Trojan-Spy.MSIL.KeyLogger.rqe, not-a-virus:AdWare.Win32.DealPly.ex ]

**Kercira Astras** · 18.11.2014, 02:21

Здравствуйте. Недавно столкнулся с проблемой запуска файлов .exe. К компьютеру имею доступ не только я, но и младшая сестра, которая качает всякую ерунду, а я не успеваю за всем следить. Собственно, почему обращаюсь - пытался поставить себе кейлоггер на компьютер, на секунду или несколько процесс появляется в созданных процессах, занимает чаще всего 2684 кб, а потом исчезает. После появляется процесс conhost.exe который занимает ~1400 кб. Бог с ним с кейлоггером. Решил поставить базу гибдд. Тоже не запускается, а это уже критично. База рабочая, запускается у знакомого на компьютере совершенно без проблем.
Антивируса нету, мне он без надобности. Что тут говорить, если даже на AVZ браузер ругался, мол, вредоносное ПО.
Точек восстановления не делал, а зря. Удалял обновления KB2882822, KB2859537, KB2872339 - не помогло. Автоматические обновления отключил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.11.2014, 02:23

Уважаемый(ая) Kercira Astras, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 18.11.2014, 10:48

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\syswow64\windhcpclient.exe');
 StopService('WinDhcp');
 QuarantineFile('C:\Users\qwerty\AppData\Local\Temp\Skype\lsass.exe', '');
 QuarantineFile('C:\Users\5FCE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\WebOptimizer\bho.dll', '');
 QuarantineFile('C:\WINDOWS\system32\cftmon.exe', '');
 QuarantineFile('C:\Users\адмитн\AppData\Roaming\newSI_20\s_inst.exe', '');
 QuarantineFile('C:\Users\адмитн\AppData\Roaming\newSI_10\s_inst.exe', '');
 QuarantineFile('c:\windows\syswow64\windhcpclient.exe', '');
 DeleteFile('c:\windows\syswow64\windhcpclient.exe', '32');
 DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\x64\mgrldr.dll', '32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe', '32');
 DeleteFile('C:\Users\адмитн\AppData\Roaming\minecraft-goldmods.ru.url', '32');
 DeleteFile('C:\Users\адмитн\AppData\Roaming\newSI_10\s_inst.exe', '32');
 DeleteFile('C:\Users\адмитн\AppData\Roaming\newSI_20\s_inst.exe', '32');
 DeleteFile('C:\WINDOWS\system32\cftmon.exe', '32');
 DeleteFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\WebOptimizer\bho.dll', '32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job', '32');
 DeleteFile('C:\Users\5FCE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Windows\Tasks\MetaCrawler.job', '32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly', '32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites', '32');
 DeleteFile('C:\Windows\system32\Tasks\lclalqa', '32');
 DeleteFile('C:\Users\qwerty\AppData\Local\Temp\Skype\lsass.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Local Security Authority Process', '32');
 DeleteFile('C:\Windows\system32\Tasks\MetaCrawler', '32');
 DeleteService('WinDhcp');
 DelBHO('{C0173A2E-3103-4954-AB8D-CD3C1D4B082A}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\minecraft-gold', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newSI_10', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newSI_20', 'command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

**Kercira Astras** · 23.11.2014, 22:39

Извиняюсь за задержку, вот, как просили.

**Vvvyg** · 24.11.2014, 08:32

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Tabs.lnk');
 DeleteFile('C:\Users\адмитн\AppData\Roaming\newSI_10\s_inst.exe', '32');
 DeleteFile('C:\Users\адмитн\AppData\Roaming\newSI_20\s_inst.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly', '64');
 DeleteFile('C:\Windows\system32\Tasks\lclalqa', '64');
 DeleteFile('C:\Windows\system32\Tasks\Local Security Authority Process', '64');
 DeleteFileMask('C:\Users\адмитн\AppData\Roaming\newSI_10', '*', true);
 DeleteFileMask('C:\Users\адмитн\AppData\Roaming\newSI_20', '*', true);
 DeleteDirectory('C:\Users\адмитн\AppData\Roaming\newSI_10');
 DeleteDirectory('C:\Users\адмитн\AppData\Roaming\newSI_20');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newSI_10', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newSI_20', 'command');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Kercira Astras** · 27.11.2014, 01:52

Сделал

**Vvvyg** · 27.11.2014, 08:47

Выполните скрипт в uVS:

Код:

;uVS v3.85.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref С:\WINDOWS\SYSTEM32\USERINIT.EXE
delref HTTP://MULTI-SEARCH.ORG
delref HTTP://START.TICNO.COM
delref %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBOPTIMIZER\BHO.DLL
deldir %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBOPTIMIZER
delref %SystemDrive%\PROGRAM FILES (X86)\HOTSPOT SHIELD\HSSIE\HSSIE_64.DLL
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
restart

Компьютер перезагрузится.

Страшного ничего нет, то, что не запускаются 2 пиратские программы - это ещё не показатель. Возможно, не хватает каких-то компонентов, обновление системы лучше включить, часто помогает при непонятных проблемах.

**CyberHelper** · 27.11.2014, 08:57

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\users\5fce~1\appdata\roaming\metacr~1\update~1\ update~1.exe - not-a-virus:AdWare.Win32.DealPly.ex ( DrWEB: Trojan.Packed.27890, BitDefender: Gen:Variant.Strictor.67547 )
2. c:\windows\system32\cftmon.exe - Trojan-Spy.MSIL.KeyLogger.rqe ( BitDefender: Gen:Heur.Bodegun.3, AVAST4: Win32:Malware-gen )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Не запускаются файлы EXE [Trojan-Spy.MSIL.KeyLogger.rqe, not-a-virus:AdWare.Win32.DealPly.ex ] (заявка № 171116)

Опции темы

Не запускаются файлы EXE [Trojan-Spy.MSIL.KeyLogger.rqe, not-a-virus:AdWare.Win32.DealPly.ex ]

Это понравилось:

Это понравилось:

Итог лечения

Похожие темы

не запускаются файлы .exe

не запускаются файлы exe

Не запускаются exe файлы

Не запускаются exe файлы.

Не запускаются ехе файлы

Метки для этой темы

Ваши права в разделе