Показано с 1 по 17 из 17.

посмотрите плиз C:\bbbe18ac0d4eab459122a112 что это такое и не только (заявка № 56434)

  1. #1
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38

    посмотрите плиз C:\bbbe18ac0d4eab459122a112 что это такое и не только

    Компьютер перезагружается произвольно
    Сначала появлялось сообщение об ошибке на синем экране - теперь просто произвольная перезагрузка + вроде висят непонятные процессы
    прикладываю логи
    Последний раз редактировалось Микро; 06.02.2010 в 10:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
     QuarantineFile('C:\Documents and Settings\лялин(а).FAMILY-37279933\Рабочий стол\mem.doc','');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('c:\windows\system32\winagent.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\system32\printrgwiz32.dll','');
     QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
     QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
     DeleteFile('c:\windows\system32\drivers\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\wmmest.dll');
     DeleteFile('C:\WINDOWS\system32\printrgwiz32.dll');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('c:\windows\system32\winagent.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Скачайте новую версию avz.Сделайте новые логи.
    Последний раз редактировалось AndreyKa; 05.10.2009 в 20:28. Причина: ExecuteRepai -> ExecuteRepair

  4. #3
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    Ошибка: 'j' expected в позиции 8:17

    + теперь если загрузить систему не в безопасном режиме то система блокируется и возникает окошко - пошлите sms windows чтобы купить лицензию - это фейк? вирус? или на что-то другое?
    т.е. не в безопасном режиме вообще зайти и что-то сделать невозможно
    можно выполнить вышеуказанный скрипт в безопасном режиме

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Скрипт поправил.

  6. #5
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    карантин выслал
    а как сделать логи если зайти можно только в безопасном режиме?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    После скрипта все равно не пускает в обычный режим? Тогда делайте логи в безопасном
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    повторно выполнил скрипт в безопасном режиме - в обычный зайти не могу - сообщение на пустом рабочем столе - пришлите смс - получите лицензионный код windows ...
    выполнил логи в безопасном режиме
    выслал карантин
    Последний раз редактировалось Микро; 06.02.2010 в 10:43.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Пофиксить в HiJack
    Код:
    O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x‹
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     DelBHO('{7023DE86-FAF5-4E26-94AC-C32C740270B0}');
     DelBHO('{CCF00E14-7C5E-4420-9BF3-AA4809CFAA13}');
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     QuarantineFile('C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe','');
     QuarantineFile('C:\WINDOWS\system32\3d3234c.exe','');
     DeleteFile('C:\WINDOWS\system32\3d3234c.exe');
     DeleteFile('C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe');
     DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
    DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency', '*.*', true);
    DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
    DeleteFileMask('C:\Program Files\AntiSpywareXP2009', '*.*', true);
    DeleteDirectory('C:\Program Files\AntiSpywareXP2009');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (по возможности в нормальном режиме)
    Последний раз редактировалось thyrex; 05.10.2009 в 23:55.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    удалось зайти в обычном режиме
    выслал карантин
    прикладываю новые логи
    Последний раз редактировалось Микро; 06.02.2010 в 10:43.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\wmmest.dll');
     DeleteFile('C:\PROGRA~1\ICQTOO~1\toolbaru.dll');
     DelBHO('{055FD26D-3A88-4e15-963D-DC8493744B1D}');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    ПК перезагрузится.

    Сделаете лог virusinfo_syscheck

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    Цитата Сообщение от Микро Посмотреть сообщение
    C:\bbbe18ac0d4eab459122a112
    В эти папки обычно распаковываются всякие Windows апдейты, когда вы их начинаете ставить.

  13. #12
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    после выполнения последнего скрипта компьютер не перезагрузился
    + авз нельзя закрыть, сделал просто ребут
    выкладываю логи
    Последний раз редактировалось Микро; 06.02.2010 в 10:43.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    c:\program files\relevantknowledge - сами устанавливали?

    Пофиксить в HiJack
    Код:
    O20 - AppInit_DLLs: printrgwiz32.dll
    Выполните скрипт в AVZ
    Код:
    begin
    BC_DeleteFile('C:\WINDOWS\system32\wmmest.dll');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    c:\program files\relevantknowledge
    в первый раз слышу

  16. #15
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    53
    Вес репутации
    38
    новые логи
    пока вроде всё хорошо
    ещё что-то есть?
    Последний раз редактировалось Микро; 06.02.2010 в 10:43.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    C:\WINDOWS\system32\wmmest.dll удалите этим http://virusinfo.info/showthread.php?t=17228
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\common files\target marketing agency\tmagent\tmagent.dll - not-a-virus:AdWare.Win32.TMAagent.t ( NOD32: Win32/Adware.TMAagent application )
      2. c:\program files\microsoft common\svchost.exe - Packed.Win32.Krap.x ( DrWEB: Win32.HLLW.Autoruner.6326 )
      3. c:\windows\system32\drivers\svchost.exe - Backdoor.Win32.Rbot.agjj
      4. c:\windows\system32\msvcrt57.dll - Trojan.Win32.FraudPack.vds ( DrWEB: Trojan.DownLoad.5244 )
      5. c:\windows\system32\printrgwiz32.dll - Trojan.Win32.Pakes.nqr
      6. c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.z
      7. c:\windows\system32\wmmest.dll - Trojan-Downloader.Win32.Small.kgl ( DrWEB: Trojan.DownLoad.40730, BitDefender: Trojan.Generic.2507160 )
      8. c:\windows\system32\3d3234c.exe - Trojan.Win32.Scar.aasn


  • Уважаемый(ая) Микро, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 15.03.2012, 00:18
    2. Посмотрите плиз!
      От Vidok в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.05.2009, 22:35
    3. Посмотрите.Плиз..
      От nbnfy в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.08.2008, 18:59
    4. Посмотрите, плиз.
      От Holymen в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.05.2008, 09:48
    5. Ответов: 7
      Последнее сообщение: 11.11.2007, 21:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01135 seconds with 16 queries