Показано с 1 по 12 из 12.

Вирусы, закрывается редактор реестра, блокнот, странные процессы в диспетчере задач [Trojan.Win32.Bublik.dsep ] (заявка № 184050)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2015
    Сообщений
    5
    Вес репутации
    10

    Вирусы, закрывается редактор реестра, блокнот, странные процессы в диспетчере задач [Trojan.Win32.Bublik.dsep ]

    Добрый день. На работе столкнулся со следующейпроблемой. В один из прекрасных дней, кто-то из сотрудников принёс флешку, итут всё началось: файлы на флешке стали ярлыками, папки тоже, файлы скрытые ит.д. USB Disk Security удалил угрозу (вроде бы)). Теперь при загрузке системы в процессах появляется блокнот и калькулятор (самих окон нет).Завершить эти процессы нельзя. Редактор реестра, блокнот, командная строка - открываются, висят 2-3 секунды и сами закрываются без каких-либо ошибок. Также появились и другие процессы, имена которых всегда разные, и один из них на 70% загружает систему. Вредоносные файлы - не удаляются, не лечатся ни авастом, ни др. вебом кур.ит. Расположение их я установил. Помогите справиться с возникшей проблемой. Выполнил все скрипты в АВЗ для сбора логов. В папке с логами также появился архив virusinfo_autoquarantine.zip. Прикрепляю логи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Eugengm, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('C:\Users\tanya\AppData\Roaming\Windows Live\yfvupemmmt.exe'');
     TerminateProcessByName('C:\Users\tanya\AppData\Roaming\WindowsUpdate\Live.exe');
     QuarantineFile('C:\Users\tanya\AppData\Roaming\WindowsUpdate\Live.exe', '');
     QuarantineFile('C:\Users\tanya\AppData\Roaming\Windows Live\yfvupemmmt.exe', '');
     DeleteFile('C:\Users\tanya\AppData\Roaming\Windows Live\yfvupemmmt.exe', '32');
     DeleteFile('C:\Users\tanya\AppData\Roaming\WindowsUpdate\Live.exe', '32');
     DeleteFileMask('C:\Users\tanya\AppData\Roaming\WindowsUpdate', '*', true);
     DeleteFileMask('C:\Users\tanya\AppData\Roaming\Windows Live', '*', true);
     DeleteDirectory('C:\Users\tanya\AppData\Roaming\WindowsUpdate');
     DeleteDirectory('C:\Users\tanya\AppData\Roaming\Windows Live');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    21.05.2015
    Сообщений
    5
    Вес репутации
    10
    Карантин загрузил. До выполнения написанного выше скрипта выполнил 2-ой стандартный скрипт. После выполнения Вашего скрипта блокнот закрываться перестал, редактор реестра стал открываться нормально. В логах пинг указан как - error, однако подключение к интернету - есть, всегда. Компьютер подключен к сети под управление вин сервер 2003 + юзергейт. Интернет слабенький, 3мбит/с на ~30 машин и яндекс и прочее не "пингуются" никогда.
    Скажите, можно ли проблему считать исчерпанной? И не могли бы Вы дать совет как избежать повторения данной ситуации, как защитить ПК от этого зловредного вируса с usb носителей?
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Цитата Сообщение от Eugengm Посмотреть сообщение
    До выполнения написанного выше скрипта выполнил 2-ой стандартный скрипт.
    А почему ДО, а не ПОСЛЕ? Рекомендации выполняются в том порядке, в каком даны.

    Цитата Сообщение от Eugengm Посмотреть сообщение
    Скажите, можно ли проблему считать исчерпанной?
    А вот для этого мне нужен результат выполнения 2-го стандартного скрипта, сделанный ПОСЛЕ скрипта лечения, по нему я проконтролирую ситуацию.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    21.05.2015
    Сообщений
    5
    Вес репутации
    10
    Сделал. Извиняюсь за причиненные неудобства. Сначала я подумал что я мог неправильно сделать 2-ой скрипт в моём первом посте. Вот логи после скрипта.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Avast со свежими базами должен этого трояна ловить, и, при соответствующих настройках, и автораны с внешних носителей должен блокировать.

    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(19);
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Автозагрузка с жёстких, сетевых и сменных дисков будет отключена.

    Удалите браузер Комета, если не пользуетесь.

    Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    21.05.2015
    Сообщений
    5
    Вес репутации
    10
    Готово.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Установите Internet Explorer 11 и все обновления к нему, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

    avast! Antivirus (включен и устарел)
    Вот поэтому он и не защитил...

    Java 8 Update 25 v.8.0.250 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u45-windows-i586.exe)^

    Adobe Flash Player 15 ActiveX v.15.0.0.167 Внимание! Скачать обновления

    Opera Stable 26.0.1656.60 v.26.0.1656.60 Внимание! Скачать обновления
    Операционную систему надо держать обновлённой постоянно, обновлять через Центр обновления Windows, лучше в автоматическом режиме.

    Необходимо отслеживать обновления критичных к безопасности программ: браузеры в первую очередь, Adobe Reader, Adobe Flash Player, Java.

    И ещё: пользователь не должен работать под учетной записью с правами администратора, если только не приходится работать с устаревшими или специфическими программами, которые этого требуют.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    21.05.2015
    Сообщений
    5
    Вес репутации
    10
    Спасибо за оперативную помощь, все недочеты будут устранены!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    WBR,
    Vadim

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\tanya\appdata\roaming\windows live\yfvupemmmt.exe - Trojan.Win32.Bublik.dsep ( AVAST4: Win32:Malware-gen )
      2. c:\users\tanya\appdata\roaming\windowsupdate\live. exe - Trojan.Win32.Bublik.dsep ( AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Eugengm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 19.10.2010, 18:15
    2. Ответов: 10
      Последнее сообщение: 06.12.2009, 22:24
    3. Ответов: 14
      Последнее сообщение: 06.12.2009, 16:19
    4. Диспетчер задач, редактор реестра, сеть
      От Kheji в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.10.2009, 13:42
    5. Ответов: 12
      Последнее сообщение: 22.02.2009, 09:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00657 seconds with 17 queries