Показано с 1 по 15 из 15.

Появились неизвестные процессы и ненужные службы. (заявка № 26187)

  1. #1
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37

    Question Появились неизвестные процессы и ненужные службы.

    Добрый вечер, эксперты!
    Прошу посмотреть логи. Никаких видимых нарушений в работе системы нет, но появились неизвестные процессы, открылось много ненужных служб и не удаётся произвести установку Др. Веба. AVZ под своим именем также не открывается. Переименовывал экзешник. Прошу помочь.
    PS. По поводу служб. Уменя домашняя сеть (через роутер). Всё что используется, так это передача файлов внутри сети.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\onnrg.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26187

  4. #3
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    При перезагрузке компьютер завис. Карантин выслал.

    Добавлено через 3 часа 22 минуты

    на всякий случай обновляю сообщение в связи с отсутствием ответа.
    Последний раз редактировалось skat; 09.07.2008 в 21:51. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    Цитата Сообщение от skat Посмотреть сообщение
    на всякий случай обновляю сообщение в связи с отсутствием ответа.
    Ответа из вир. лаба. еще не было. Нужно подождать.

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Подозреваемый не хочет в карантин. в АВЗ сервис--поиск файлов на диске поищите onnrg.sys и вышлите согласно приложения 2 правил.

  7. #6
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    Стандарный поисковик виндосовский виснет припопытке начать поик, альтернативный поиск говорит, что таких файлов на компьютере нет.

    Добавлено через 1 минуту

    АВЗ тоже не нашёл
    Последний раз редактировалось skat; 09.07.2008 в 22:24. Причина: Добавлено

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Поищите в нем файл C:\WINDOWS\system32\drivers\onnrg.sys. Усли найдте:
    Нажмите по нему правой кнопкой мыши и выберите Copy to.
    Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу набирите имя файла, сменив расширение на ddd.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\onnrg.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('aic32p');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Если удастся сделать копию файла IceSword'ом - тогда поместите файл в архив под пароль virus и вышлите по ссылке http://virusinfo.info/upload_virus.php?tid=26187

    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    IceSword тоже этого файла не видит.. копировать нечего.
    Скрипт пока выполнять не стал.

  10. #9
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    на всякий случай обновляю сообщение в связи с отсутствием ответа.

  11. #10
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    выполнил скрипт.
    Вложения Вложения

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Попробуйте ещё раз IceSword поискать C:\WINDOWS\system32\drivers\onnrg.sys.
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\carden~1\locals~1\temp\winofbc.exe');
     TerminateProcessByName('c:\docume~1\carden~1\locals~1\temp\winjxta.exe');
     TerminateProcessByName('c:\docume~1\carden~1\locals~1\temp\winjjlro.exe');
     QuarantineFile('c:\docume~1\carden~1\locals~1\temp\winofbc.exe','');
     QuarantineFile('c:\docume~1\carden~1\locals~1\temp\winjxta.exe','');
     QuarantineFile('c:\docume~1\carden~1\locals~1\temp\winjjlro.exe','');
     DeleteFile('c:\docume~1\carden~1\locals~1\temp\winjjlro.exe');
      DeleteFile('c:\docume~1\carden~1\locals~1\temp\winofbc.exe');
     DeleteFile('c:\docume~1\carden~1\locals~1\temp\winjxta.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26187
    Повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    onnrg.sys найти не удалось..
    Эти три файла в темпе (указанные в скрипте) создаются заново с разными именами после каждой перезагрузки.
    Сейчас они лежат у меня с именами winkxllx.exe, winoprb.exe и winqckdhj.exe.
    Скрипт пока не выполнял, может имеет смысл заменить в нём имена файлов на существуюшие у меня сейчас?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Ещё как имеет.

  15. #14
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    38
    Вес репутации
    37
    Скрипт выполнил, карантин выслал.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\carden~1\\locals~1\\temp\\wincksm.ex e - Trojan-PSW.Win32.Stealer.o (DrWEB: Trojan.HtmlChange.1)
      2. c:\\docume~1\\carden~1\\locals~1\\temp\\winduwyc.e xe - Trojan.Win32.Agent.rlb (DrWEB: Trojan.Spambot.337
      3. c:\\docume~1\\carden~1\\locals~1\\temp\\winqsye.ex e - SpamTool.Win32.Agent.km (DrWEB: Trojan.Spambot.3364)


  • Уважаемый(ая) skat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неизвестные процессы.
      От arless в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.11.2010, 16:33
    2. Помогите закрыть ненужные процессы
      От Дмитрий 89 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.02.2010, 23:17
    3. присутствуют неизвестные мне службы
      От timur_kotamov в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.11.2009, 22:53
    4. неизвестные процессы
      От Gastell0 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:16
    5. неизвестные процессы
      От IceK в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.08.2008, 18:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00268 seconds with 17 queries