Показано с 1 по 18 из 18.

Плодятся файлы абракадабра.exe (заявка № 58974)

  1. #1
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53

    Thumbs up Плодятся файлы абракадабра.exe

    Добрый день!
    Извините, что отступаю от принятого здесь сценария. Дело в том, что не знаю основного файла вируса. Антивирусники Касперского и avast ничего не находят.
    Проявляется он так.
    Создается куча файлов абракадабра.exe в Documents and settings. И дальше в каталогах всех пользователей и в C:\Documents and Settings\LocalService.
    Все файлы одного размера, но с разными значками. Все от корпорации Майкрософт. В описании написано, что это CTF Loader и что файл CTFMON.EXE.
    В regedit все эти файлы стоят в разных местах в автозагрузке с ключом /r.
    Еще в каталогах с файлами есть один или 2 файла. Имя - абракадабра без расширения. Файл или пустой или записан путь к одному экзешнику.
    Рееестр я почищу, файлы уберу. Но кто-то же расплодил их на компе! Да, комп не загружается в защищенном режиме.
    А началось все с бесконечных предупреждений при запуске компьютера, что файл logon.exe (или типа того) занят другой программой.
    Буду признателен за совет и помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполните Правила.

  4. #3
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Затык на втором пункте. Я писал, что комп не грузится в безопасном режиме.
    Попробую сделать остальное.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пропустите проверку в безопасном режиме. Выполняйте написанное в разделе Диагностика
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Выкладываю логи.
    Ключи реестра с расплодившимися файлами я удалил до проверки. Иначе невозможно было перегружаться. Сами файлы убрал в другую папку. Они не определялись как вирусы.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
     QuarantineFile('logon.exe','');
    DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
    DelCLSID('00A6FAF6-072E-44cf-8957-5838F569A31D');
    DelCLSID('00A6FAF1-072E-44cf-8957-5838F569A31D');
    DelCLSID('07B18EA1-A523-4961-B6BB-170DE4475CCA');
    DelCLSID('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
    DelCLSID('07B18EA9-A523-4961-B6BB-170DE4475CCA');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Цитата Сообщение от AKC Посмотреть сообщение
    Сами файлы убрал в другую папку.
    Пришлите один такой файл в zip архиве с паролем virus по той же ссылке.

  8. #7
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Файлы отправил.
    Сегодня при первой перезагрузке (еще до скрипта) сетевой экран avast заблокировал вредоносное подключение к какому-то сайту. Я хотел посмотреть журнал avast, но он не запустился.
    В диспетчере задач висел процесс iexplore.exe, хотя я его не запускал. (обратил внимание, когда хотел сменить пользователя, а винда выдала сообщение, что эта программа не отвечает).
    Как только выгрузил дерево процесса, журнал сам открылся. К сожалению, там нет сообщения о блокировке сетевым экраном. Адрес сайта я не успел зафиксировать.
    После скрипта и перезагрузки все повторилось. Вот только AVZ я запустил с ограниченными правами. Может повторить с правами адинистратора?
    Последний раз редактировалось AKC; 02.11.2009 в 12:29.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от AKC Посмотреть сообщение
    Создается куча файлов абракадабра.exe
    Присланный файл (ygnvdltbjrah.exe) компонент антивируса Avast.
    Цитата Сообщение от AKC Посмотреть сообщение
    Вот только AVZ я запустил с ограниченными правами. Может повторить с правами адинистратора?
    Повторите.
    Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  10. #9
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    От администратора помогло. Аваст молчит, iexplore.exe в процессах нет.
    Но вот в безопасном режиме комп так и не грузится. появляется синий экран и комп выключается.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В логе чисто.
    Цитата Сообщение от AKC Посмотреть сообщение
    в безопасном режиме комп так и не грузится. появляется синий экран и комп выключается.
    Отключите автоматическую перезагрузку:
    Свойства компьютера - Дополнительно - Загрузка и восстановление.
    И запишите первые две строки с синего экрана.

  12. #11
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Техническая информация на синем экране:
    STOP: 0x0000007B (0xF7C47524, 0xC0000034, 0x000000, 0x000000).
    Сейчас на всякий случай запустил CHKDSK /F. Из-под XP он не запускается, говорит другой процесс блокирует. Проверяет после перезагрузки.

    Еще пара проблем.
    1. Нет варианта "Сменить пользователя" - только "Выход из системы".
    2. Всегда висит вариант в выключении компьютера "Установить обновления ВИндоус и выключить компьютер". При выборе этого пункта устанавливаются 2 обновления. Но при загрузке в меню снова этот пункт. И снова точно так же, за то же время (первое долго, второе быстро) устанавливаются судя по всему те же "обновления".

    Все, сканирование прошло. Все осталось без изменений. И та же строчка в безопасном режиме.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    AVZ -> Файл -> Восстановление системы -> поставить галочку на п.10 -> выполнить отмеченные операции. Перезагрузить компьютер. Помогло?

  14. #13
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Спасибо. Помогло. Сейчас на всякий случай прогоню проверку Касперским в безопасном режиме.
    Кстати, последним перед синим экраном грузился драйвер mup.sys.

    А не подскажете, как быть со сменой пользователя и обновлениями?

    Добавлено через 22 минуты

    Уже в logon.exe нашел троян. Не зря вы его заподозрили (или avz).

    Блин, что-то ноут перегревается в безопасном режиме. Уже в третий раз отключается... И вентиляторы работают на полную, как-будто видюха очень крутую игрушку гоняет.

    Подожду Вашего ответа, не буду включать, а то ноут сгорит. Очень уж сильно разогрелся...

    Добавлено через 11 минут

    Кстати, у нас в семье несколько месяцев назад на двух ноутах видеочипы сгорели. С интервалом в несколько дней. А данные с них кочуют (диски от них). И еще один раньше накрылся - тоже чип видюхи. Уж не одна ли это зараза???
    Последний раз редактировалось AKC; 02.11.2009 в 16:21. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от AKC Посмотреть сообщение
    А не подскажете, как быть со сменой пользователя и обновлениями?
    Службы:
    - Совместимость быстрого переключения пользователей
    - Службы терминалов
    запущены?
    Удалите папку C:\WINDOWS\SoftwareDistribution

    Проверяйте в Нормальном режиме.

  16. #15
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Службы запустил. Не помогло.
    Папку удалил в безопасном режиме, помогло. Спасибо!
    Касперский опять нашел в logon.exe вирус Trojan.Win32.Vilsel.lit. Сам не удалил, я ему помог через его функции. Вылечить он его не смог.
    До этого натравил на этот файл своего Аваста - тот промолчал.

    Проверка продолжается. Виндоус то запустится без этого файла?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от AKC Посмотреть сообщение
    Виндоус то запустится без этого файла?
    Да.

  18. #17
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    11
    Вес репутации
    53
    Огромное спасибо за помощь!
    Вот только удивляет, что Аваст не находит вируса в файле, который в карантине. А Касперский находит... Я уже и переустановил Аваста - ничего не помогает. Очень досадно!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\logon.exe - Trojan.Win32.Vilsel.lit ( DrWEB: Win32.HLLW.Autoruner.7598, BitDefender: Trojan.Generic.2623686, AVAST4: Win32:Kryptik-DZ [Trj] )


  • Уважаемый(ая) AKC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Абракадабра в папках на флэшке
      От Оксана Л в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.10.2011, 23:13
    2. Ответов: 2
      Последнее сообщение: 03.06.2011, 00:37
    3. в окошках абракадабра
      От ВалентинаЛ в разделе Софт - общий
      Ответов: 13
      Последнее сообщение: 17.03.2011, 21:31
    4. Ответов: 4
      Последнее сообщение: 08.02.2011, 10:36
    5. Ответов: 22
      Последнее сообщение: 17.07.2010, 18:45

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01545 seconds with 19 queries