Показано с 1 по 12 из 12.

Всё началось с zerx.exe (заявка № 45238)

  1. #1
    Junior Member Репутация
    Регистрация
    06.05.2009
    Адрес
    Almaty, Kazakhstan
    Сообщений
    7
    Вес репутации
    32

    Всё началось с zerx.exe

    Подключил флешку, как обычно (перед тем как открыть) просканировал KIS 8.0 (базы были свежие), ничего не было обнаружено. Открыл флешку, KIS почемуто автоматически добавил zerx.exe в приложения со слабими ограничениями. Было понятно что никаких левых экзешников на флешке быть не должно, открываю KIS быстренько добавляю zerx.exe в недоверенные преложения. Дальше все как обычно, на флешке имеелась скрытая папка Drivers с вышеобозначенным файлом, все удалил. Примерно в это же время KIS начинает меня оповещать о том, что explorer.exe заражен и поместить его в карантин он не может.
    После перезагрузки данное оповещение пропало, НО после соединения с интернетом каждые минуты две KIS оповещает о том, что Windows Explorer пытается загрузить вредоносную программу с aranema.myhawkee.com. Одновременно(!) с этим вылетает сообщение:
    16 bit MS-DOS Subsystem.
    C:\D0CUME^l\DEFAUL«2\Xccgxhj.exe
    The NTVDM CPU has encountered an illegal instruction.
    CS:0dc3 IP:02If OP:63 6b 67 72 6f Choose 'Close1 to terminate the application

    В вышеуказанной папке обнаружены экзешники dfghexjxs.exe, dfghxjxs.exe которые при сканировании KIS никаких признаков вредности не проявляют.
    Как избавиться от сей заразы?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC2A322142');
     QuarantineFile('C:\Driver\Files\zerX.exe','');
     QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
     DeleteFile('C:\Driver\Files\zerX.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    06.05.2009
    Адрес
    Almaty, Kazakhstan
    Сообщений
    7
    Вес репутации
    32
    архив закачал.
    новый лог:
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    06.05.2009
    Адрес
    Almaty, Kazakhstan
    Сообщений
    7
    Вес репутации
    32

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    zerX.exe - Backdoor.Win32.Poison.abib

    Детектирование файла будет добавлено в следующее обновление.
    Сделайте ещё это http://virusinfo.info/showthread.php?t=3519

    Что с проблемами?

  7. #6
    Junior Member Репутация
    Регистрация
    06.05.2009
    Адрес
    Almaty, Kazakhstan
    Сообщений
    7
    Вес репутации
    32
    Цитата Сообщение от light59 Посмотреть сообщение
    Сделайте ещё это http://virusinfo.info/showthread.php?t=3519
    сделаю

    Что с проблемами?
    вроде пропали, теперь остается вопрос, как окончательно все отчистить от остатков (на С: осталась папка Driver с одним каким-то файлом и что с теми (в папке C:\Documents and Settings\default_name) экзешниками (dfghexjxs.exe, dfghxjxs.exe, Xccgxhj.exe, Xxsdgxhj.exe) делать? и еще флешка осталась (там таже папка (Driver) судя по всему с тем же содержимым)?
    Последний раз редактировалось hCG; 06.05.2009 в 19:43.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Поместите в карантин AVZ (см. приложении 2 Правил) файлы :
    C:\Documents and Settings\default_name\*.exe
    и пришлите их.
    Папку \Driver можно удалить.

  9. #8
    Junior Member Репутация
    Регистрация
    06.05.2009
    Адрес
    Almaty, Kazakhstan
    Сообщений
    7
    Вес репутации
    32
    прислал.
    с флешкой пока ничего не делать?
    эти экзешники тоже можно удалять?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Спасибо. Один из файлов может быть вредоносным, подождем ответа аналитика.
    Остальные повреждены.
    На флешке папку \Driver удалите и файл \autorun.inf тоже.
    Присланные ехе файлы удалите.

  11. #10
    Junior Member Репутация
    Регистрация
    06.05.2009
    Адрес
    Almaty, Kazakhstan
    Сообщений
    7
    Вес репутации
    32
    ок. спасибо!
    а универсальной защиты от zerx.exe нет? как впредь защитить себя?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Вот так себя защитите
    http://virusinfo.info/showthread.php?t=30339

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\default_name\dfghexjxs.exe - Trojan.Win32.Dialer.vdr
      2. c:\driver\files\zerx.exe - Backdoor.Win32.Poison.abib ( DrWEB: BackDoor.Poison.685, BitDefender: Trojan.VB.NYP )


  • Уважаемый(ая) hCG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ZerX.exe и Backdoor.Win32.Poison.zlm
      От Jeweller787 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.05.2009, 10:16
    2. Началось с Mutant.aim
      От most в разделе Помогите!
      Ответов: 64
      Последнее сообщение: 22.02.2009, 07:02
    3. Все началось с Sanitardiska...
      От Lethal в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:44
    4. Началось с ntos.exe
      От phil62 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.10.2008, 10:14
    5. А началось всё с DefLib.sys...
      От Grower в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.12.2007, 13:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00408 seconds with 17 queries