Показано с 1 по 14 из 14.

Вирус убивает процесс svchost.exe и создает файлы myporno.avi.lnk [Packed.Win32.Krap.il ] (заявка № 192687)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    9
    Вес репутации
    30

    Вирус убивает процесс svchost.exe и создает файлы myporno.avi.lnk [Packed.Win32.Krap.il ]

    Вирус убивает процесс svchost.exe и создает файлы во всех расшаренных папках и флешках:
    autorun.inf
    myporno.avi.lnk
    pornmovs.lnk
    setup50045.lnk
    setup50045.fon
    Также в системном разделе создается два файла d:\Temp\srv754.ini и srv754.tmp размером 1 и 58 Кб, которые блокируются от удаления процессом spoolsv.exe. Сам процесс spoolsv.exe иногда вылетает с ошибкой.
    Gridinsoft Antimalware находит вирус и удаляет его после перезагрузки, но через 10-20 минут появляется снова в том же месте.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) Bormental, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     DeleteService('eapihdrv');
     QuarantineFile('D:\Temp\ehdrv.sys','');
     TerminateProcessByName('d:\program files\cpu.exe');
     QuarantineFile('d:\program files\cpu.exe','');
     DeleteFile('d:\program files\cpu.exe','32');
     DeleteFile('D:\Temp\ehdrv.sys','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    9
    Вес репутации
    30

    Вирус убивает процесс svchost.exe и создает файлы myporno.avi.lnk

    Добрый день. Я выполнил оба скрипта, но на флешке и дальше появляются вредоносные файлы с теми же именами.
    По файлу cpu.exe - это программа Cool Popup для обмена сообщениями в локальной сети, Иногда антивирусы на неё реагируют, так как она работает с локальной сетью, висит в трее и вроде как не имеет видимых окон. Прилагаю принтскрин открытых окон программы cpu.exe сделанный до запуска скрипта и скрин блокирования вредоносного (по "мнению" CureIT) файла
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Bormental; 13.11.2015 в 12:26.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('globalroot\device\harddiskvolume2\temp\srv764.tmp', '');
     QuarantineFile('G:\autorun.inf', '');
     DeleteFile('globalroot\device\harddiskvolume2\temp\srv764.tmp', '32');
     DeleteFile('G:\autorun.inf', '32');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог Gmer.
    WBR,
    Vadim

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    9
    Вес репутации
    30

    Вирус убивает процесс svchost.exe и создает файлы myporno.avi.lnk

    Добрый день. Выполнил рекомендованный скрипт и на флешке перестали появляться вредоносные файлы. Лог Gmer полностью выполнить не удалось, потому что при проверке значений реестра программа виснет. Без проверки реестра лог выполнился нормально.
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Скорее всего, надо было полностью отключить антивирус, это рекомендуется при сборе логов и выполнении скриптов.

    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('G:\autorun.inf', '32');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте такой лог.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    9
    Вес репутации
    30

    Вирус убивает процесс svchost.exe и создает файлы myporno.avi.lnk

    Добрый день. Большое спасибо, вредоносные файлы перестали появляться. Лог TDSSKiller прилагаю
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Проверьте, на диске G: в корне файл autorun.inf есть? Если да - удалите.
    WBR,
    Vadim

  14. #10
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    9
    Вес репутации
    30
    Файлы autorun.inf на всех флешках созданы программой USB-Drive Protector для защиты от автозапуска вирусов, а сам втозапуск отключён с помощью AVZ. Но, всё равно, спасибо за совет

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Конкретно на флэшке, которая была во время работы AVZ - autorun.inf вот с таким детектом. Если такое создаёт USB-Drive Protector - я буду очень удивлён
    WBR,
    Vadim

  16. #12
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    9
    Вес репутации
    30
    Ок. Спасибо

  17. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    WBR,
    Vadim

  18. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\temp\srv23c.tmp - Packed.Win32.Krap.il ( BitDefender: Gen:Trojan.Heur.KS.6, AVAST4: Win32:Kryptik-BVR [Trj] )


  • Уважаемый(ая) Bormental, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 13.06.2015, 12:22
    2. Вирус создает файлы exe, rar и scr
      От bistro в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.03.2015, 16:02
    3. Вирус создает файлы tmp
      От Сергей Ларионов в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.02.2014, 20:20
    4. Вирус убивает файлы на флешке
      От Christian в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.11.2010, 12:06
    5. Вирус убивает .ЕХЕ файлы
      От GAB в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:55

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00796 seconds with 17 queries