Показано с 1 по 19 из 19.

Помогите... посторонние процессы (заявка № 45503)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32

    Exclamation Помогите... посторонние процессы

    Аваст постоянно ругается, в systm32 прописываются папки со странными названиями в которых лежат файлы с названием 001 или 002, также появляются одноимённые процессы. Всё это происходит при наличии подключения к сети, также авастом пресекаются попытки самопроизвольно соединиться с какими-то сайтами...
    CUREIT нашёл "ddos attack 203", "ddos storm 19", "BackDoor. Dark sheel. 68", "trojan mycentria (не точно)". После удаления этих вирусов проблемы не прекратились.
    Логи прикладываю.
    Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('acpi24Drv');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\18425493.sys','');
     QuarantineFile('C:\WINDOWS\system32\youming.dll','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
     DeleteFile('C:\WINDOWS\system32\acpi24.sys');
     DeleteService('acpi24Drv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('acpi24Drv');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Не отключить файрвол, ошибка: “Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.” Браузеры толком не работают, система тормозит пострашному... Можно сделать логи не отключая файрвол?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Можно...

  6. #5
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Сделал.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    карантин где ?

  8. #7
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Был закачан. Переименовал, закачал ещё раз "090511_142503_Карнтин от andreich-1_4a07fcffdf274.zip"
    Браузеры тормозят, невозможно... Процессы типа "ifzai.exe" жрут траффик

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\ifzai.exe');
     TerminateProcessByName('c:\windows\cliqsrv.exe.exe');
     StopService('ifzai');
     StopService('ClipB00k');
     QuarantineFile('system32\DRIVERS\18425493.sys','');
     QuarantineFile('c:\windows\system32\youming.dll','');
     QuarantineFile('c:\windows\system32\ifzai.exe','');
     QuarantineFile('c:\windows\cliqsrv.exe.exe','');
     DeleteFile('c:\windows\cliqsrv.exe.exe');
     DeleteFile('c:\windows\system32\ifzai.exe');
     DeleteFile('c:\windows\system32\youming.dll');
     DeleteService('ifzai');
     DeleteService('ClipB00k');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('ifzai');
     BC_DeleteSvc('ClipB00k');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Сделал. Процессов жрущих траффик пока не замечаю, но в system32 всё равно появляются папки с именами типа "LOMMN04SU" или "NC3FZEXGU" с файлами "Q001.exe " "K002.exe" и т.п. аваст постоянно ругается на трояны. Если их удалять, они снова прописываются...
    Карантин 090511_162733_2009-05-11.andreich-1_4a0819b508026.zip

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Сделайте проверку на файловые вирусы (см. ссылку в подписи)

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\cliqsvr.exe.exe');
     StopService('ClipB00k');
     StopService('KingDuuBa A');
     StopService('WinHelp');
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     QuarantineFile('C:\Program Files\R_Server\Slsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\KiVIR.exe','');
     QuarantineFile('C:\WINDOWS\system32\ShareLib.dll','');
     DeleteFile('C:\WINDOWS\system32\KiVIR.exe');
     DeleteFile('C:\WINDOWS\system32\ShareLib.dll');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
     DeleteFile('c:\windows\cliqsrv.exe.exe');
     DeleteFile('c:\windows\system32\youming.dll');
     DeleteService('KingDuuBa A');
     DeleteService('ClipB00k');
     DeleteService('WinHelp');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('KingDuuBa A');
     BC_DeleteSvc('ClipB00k');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Продолжаю просить помощи... Всё это время никаких изменений: попрежнему посторонние процессы, попытки соединиться с какими-то сайтами, аваст постоянно ругается, при сканировании любым антивирусом в любом режиме - удаляются 6-8 вирусов, а при перезагрузке и последующем подключении к нету все вирусы прописываются обратно и аваст опять ругается...
    Такое ощущение, что вирус контролирует все загрузки! С трекеров вообще ничего не закачать ни одним клиентом, при загрузке большенства антивирусов, либо повреждаются файлы, либо происходит сбой в загрузке, повреждаются все exe-файлы...
    Проверку на файловые вирусы сделал с помощью DRWeb LiveSD - ничего найдено не было.
    Заранее спасибо...

    Карантин: 090521_212102_2009-05-21 andreich-1_4a158d7e718c1.zip

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('esihdrv');
     QuarantineFile('C:\DOCUME~1\emeaa\LOCALS~1\Temp\esihdrv.sys','');
     DeleteService('Windows Management Audios');
     QuarantineFile('C:\WINDOWS\system32\oobe\obeips.exe','');
     DeleteService('System Event Helper');
     QuarantineFile('C:\WINDOWS\system32\slbiops.exe','');
     QuarantineFile('C:\WINDOWS\se.exe','');
     DeleteService('ser');
     DeleteService('13DB6EE4');
     QuarantineFile('C:\WINDOWS\Fonts\D9FE14BE.EXE','');
     QuarantineFile('c:\windows\system32\sysgeneral.dll','');
     DeleteFile('c:\windows\system32\sysgeneral.dll');
     DeleteFile('C:\WINDOWS\Fonts\D9FE14BE.EXE');
     DeleteFile('C:\WINDOWS\se.exe');
     DeleteFile('C:\WINDOWS\system32\slbiops.exe');
     DeleteFile('C:\WINDOWS\system32\oobe\obeips.exe');
     DeleteFile('C:\DOCUME~1\emeaa\LOCALS~1\Temp\esihdrv.sys');
    ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  14. #13
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Сделал.
    Карантин: 090521_225826_virus_4a15a4521a0df.zip

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    c:\progra~1\ooves\ooves.ref - пришлите согласно приложения 2 правил

  16. #15
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Сделал.
    Карантин:090521_232551_virus proga_4a15aabf4a1fb.zip

    Добавлено через 10 часов 34 минуты

    Парни, помогите пожалуйста... ноут отдавать, а в нём хрень всякая...
    Последний раз редактировалось andreich-1; 22.05.2009 в 09:01. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.06.2008
    Адрес
    Казань
    Сообщений
    370
    Вес репутации
    95
    - отключите восстановление системы!
    - выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\pctplsg.sys','');
     DeleteFile('c:\progra~1\ooves\ooves.ref');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    - пришлите карантин
    - повторите логи

  18. #17
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Сделал, карантин пустой...

  19. #18
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    37
    Вес репутации
    32
    Вроде всё стало нормально, только windows долго загружается... Посмотрите пожалуйста логи...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 6
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\progra~1\ooves\ooves.ref - Trojan.Win32.Agent.cies
      2. c:\windows\cliqsrv.exe.exe - Backdoor.Win32.Small.hzk
      3. c:\windows\system32\ifzai.exe - Trojan-Downloader.Win32.Agent.bxga ( BitDefender: BehavesLike:Trojan.Downloader )
      4. c:\windows\system32\sysgeneral.dll - Trojan.Win32.Delf.mrf


  • Уважаемый(ая) andreich-1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Посторонние процессы
      От Александр Шихман в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.04.2012, 01:43
    2. Посторонние процессы в памяти iexplore.exe
      От Vladimir91 в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 06.01.2012, 08:10
    3. Ответов: 8
      Последнее сообщение: 28.11.2010, 02:47
    4. Ответов: 2
      Последнее сообщение: 07.11.2010, 14:15
    5. Посторонние процессы и службы
      От Gamil в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.08.2009, 15:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01021 seconds with 16 queries