Показано с 1 по 14 из 14.

Перестали запускаться программы [Backdoor.Win32.Androm.dfo, Trojan.Win32.Yakes.pbko ] (заявка № 197208)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    32
    Вес репутации
    35

    Перестали запускаться программы [Backdoor.Win32.Androm.dfo, Trojan.Win32.Yakes.pbko ]

    Добрый день.
    Открыл архив. После чего перестали запускаться некоторые программы (icq, sippoin, nod32).
    Если запускать программы, то они либо выдают ошибку либо просто не грузятся. Автозагрузка очистилась (видимо вирусом)
    В диспетчере стали появляться странные процессы. Например Zelo.exe в количестве 20 штук.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) foxconn, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    отключите антивирусную программу

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\Users\user\appdata\roaming\update\explorer.exe','');
      QuarantineFile('C:\Users\user\appdata\roaming\c731200','');
      QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Live.exe','');
      QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Updater.exe','');
      QuarantineFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','');
      DeleteFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','32');
      DeleteFile('C:\Users\user\appdata\roaming\update\explorer.exe','32');
      DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\live.exe','32');
      DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\updater.exe','32');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    32
    Вес репутации
    35
    Готово

  7. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    отключите антивирусную программу

    Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    O4 - HKCU\..\Run: [Windows Update Installer] C:\Users\user\AppData\Roaming\WindowsUpdate\Updater.exe
    O4 - HKCU\..\Run: [Windows Live Installer] C:\Users\user\AppData\Roaming\WindowsUpdate\Live.exe
    O4 - HKCU\..\Run: [Windows Live] C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Live] C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe
    Выполните скрипт в AVZ: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    begin
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','');
      QuarantineFile('C:\Users\user\appdata\roaming\c731200','');
      QuarantineFile('C:\Users\user\appdata\roaming\update\explorer.exe','');
      QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Live.exe','');
      QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Updater.exe','');
      DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\updater.exe','32');
      DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\live.exe','32');
      DeleteFile('C:\Users\user\appdata\roaming\update\explorer.exe','32');
      DeleteFile('C:\Users\user\appdata\roaming\c731200','32');
      DeleteFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','32');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    32
    Вес репутации
    35
    Готово

  10. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    32
    Вес репутации
    35
    Запускал start.exe от имени администратора.
    Пункт "Запустить под текущим пользователем" выдает "Ошибка 2".

  13. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Сделайте лог в безопасном режиме, загрузившись через F8 http://windows.microsoft.com/ru-ru/w...mode=windows-7
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    32
    Вес репутации
    35
    Получилось

  16. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWS LIVE\UGOXXTGCIE.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWS LIVE\UGOXXTGCIE.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\IKXGXO.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\IKXGXO.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\UPDATE.EXE
    deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE
    deltmp
    restart
    czoo
    Сделайте новый полный образ автозапуска uVS.

    P.S. В соответствии с инструкцией Как выполнить скрипт в uVS

    6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)

    Не забудьте загрузить архив ZOO по ссылке прислать запрошенный карантин.
    Последний раз редактировалось mrak74; 18.02.2016 в 15:54.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    32
    Вес репутации
    35
    Программы стали запускаться

  19. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\Y81KWN24\AA_V3[1].EXE
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
    restart
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Проблема решена ?
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  20. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 45
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\user\appdata\roaming\c731200 - Worm.Win32.Ngrbot.aywx
      2. c:\users\user\appdata\roaming\c731200 - HEUR:Trojan.Win32.Generic
      3. c:\users\user\appdata\roaming\c731200 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
      4. c:\users\user\appdata\roaming\update\explorer.exe - Worm.Win32.Ngrbot.aywx
      5. c:\users\user\appdata\roaming\update\explorer.exe - HEUR:Trojan.Win32.Generic
      6. c:\users\user\appdata\roaming\windows live\ugoxxtgcie.exe - Trojan.Win32.Bublik.efeb
      7. c:\users\user\appdata\roaming\windows live\ugoxxtgcie.exe - Trojan.Win32.Bublik.eexz
      8. c:\users\user\appdata\roaming\windowsupdate\live.e xe - Trojan.Win32.Bublik.efec
      9. c:\users\user\appdata\roaming\windowsupdate\live.e xe - Trojan.Win32.Bublik.efds
      10. c:\users\user\appdata\roaming\windowsupdate\update r.exe - HEUR:Trojan.Win32.Generic
      11. \c731200._612b5c2d48770b127dd83cd1d7db09b9decb8d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
      12. \explorer.exe._612b5c2d48770b127dd83cd1d7db09b9dec b8d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
      13. \ikxgxo.exe._612b5c2d48770b127dd83cd1d7db09b9decb8 d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
      14. \live.exe._95a08d4ba8c4c7e3a71539cfe9d46a1ec61de9b 8 - Trojan.Win32.Yakes.pbko
      15. \mobsync.exe._303663801c178148473b504ac0f2b491e545 fd38 - Backdoor.Win32.Androm.dfo
      16. \ugoxxtgcie.exe._aa365ffd2aca2bc10d57aa997454f9d90 b9b0074 - Trojan.Win32.Bublik.efec
      17. \update.exe._612b5c2d48770b127dd83cd1d7db09b9decb8 d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
      18. \updater.exe._612b5c2d48770b127dd83cd1d7db09b9decb 8d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )


  • Уважаемый(ая) foxconn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Перестали запускаться программы
      От DandyEvil в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.06.2012, 20:43
    2. Перестали запускаться программы (win 7)
      От Gorlum в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.01.2012, 14:14
    3. перестали запускаться программы
      От baylis в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.05.2010, 13:58
    4. Перестали запускаться программы
      От Dmitry555 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.01.2010, 16:50
    5. Перестали запускаться программы
      От s.alexxey в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 13.11.2009, 22:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00210 seconds with 19 queries