Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

"Перезагрузочные" вирусы на ноутбуке и неудаляемый файл-экзешник (заявка № 76561)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51

    Thumbs up "Перезагрузочные" вирусы на ноутбуке и неудаляемый файл-экзешник

    Здравствуйте!
    16 апреля в середине дня у меня начал при всякой попытке входа в Интернет перезагружаться компьютер. Потом он стал перезагружаться и просто так. Антивирус (Симантек) почему-то не хотел работать. Когда удалось всё же его включить, он перед каждой перезагрузкой обнаруживал Backdoor.Rustock.

    Полное сканирование всего компьютера Симантеком особых результатов не дало, но хотя бы в отсутствии подключения к Интернету перезагружаться комп перестал.

    17 апреля благодаря усилиям одного знакомого ноутбук стал нормально вести себя и при выходе в сеть. Все необходимые обновления системы безопасности были установлены. Скачан ДокторВеб, который, кстати, нашёл 10 инфицированных объектов и удалил их.
    Однако остался подозрительный скрытый файл fxembk.exe, который не удаляется в обычном режиме, а в безопасном удаляется, но после перезагрузки возникает опять. В свойствах файла дата создания - 16.04.2010, примерно в то время, когда начались все проблемы.

    При подключении к Интернету каждый раз выдаётся какая-то ошибка, приходится нажимать кнопку "исправить" в окошке подключения по локальной сети.

    Вчера, 18 апреля, появился новый неизвестный процесс pajok.exe.

    Отчёты прилагаются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Прилагаются куда? Здесь их нет
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Вот, собственно, файлы отчётов.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\pajok.exe');
    TerminateProcessByName('c:\docume~1\user_01\locals~1\temp\vwj6d.tmp');
     TerminateProcessByName('C:\WINDOWS\system32\moboucou.exe');
    TerminateProcessByName('c:\docume~1\user_01\locals~1\temp\2813932.exe');
     QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
     QuarantineFile('C:\Documents and Settings\user_01\Application Data\fxembk.exe','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zmhhdtudnttp.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gwvaohi.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\anqlznxfa.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\mequmwcunqg.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\ojibcslfamsl.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\qaesgc.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\iraoycyemjbbftv.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\wtdwqisxvvb.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zxwwrcyckvt.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\fejnocqzgcomgk.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gbweyhvwktyo.sys','');
     QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\cwgmtvjdvtz.sys','');
     QuarantineFile('c:\docume~1\user_01\locals~1\temp\vwj6d.tmp','');
     QuarantineFile('c:\windows\system32\pajok.exe','');
    QuarantineFile('C:\WINDOWS\system32\moboucou.exe','');
     QuarantineFile('c:\docume~1\user_01\locals~1\temp\2813932.exe','');
     DeleteFile('c:\docume~1\user_01\locals~1\temp\2813932.exe');
     DeleteFile('C:\WINDOWS\system32\moboucou.exe');
     DeleteFile('c:\windows\system32\pajok.exe');
     DeleteFile('c:\docume~1\user_01\locals~1\temp\vwj6d.tmp');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\cwgmtvjdvtz.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gbweyhvwktyo.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zmhhdtudnttp.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\fejnocqzgcomgk.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\zxwwrcyckvt.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\wtdwqisxvvb.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\iraoycyemjbbftv.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\qaesgc.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\ojibcslfamsl.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\mequmwcunqg.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\anqlznxfa.sys');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\gwvaohi.sys');
     DeleteFile('C:\Documents and Settings\user_01\Application Data\fxembk.exe');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    DeleteFileMask('C:\SYSTEM', '*.*', true);
    DeleteDirectory('C:\SYSTEM');
    DeleteService('yocctzsvux');
     DeleteService('wsapsexrtttj');
     DeleteService('wktfydunp');
     DeleteService('vlpgzzptpbdllbz');
     DeleteService('uyxlkmvywjkkcce');
     DeleteService('trxgfbmuxrjp');
     DeleteService('qzyewwwaq');
     DeleteService('oejsymnmopdrx');
     DeleteService('kewdbpglqoata');
     DeleteService('jarhtixvntuw');
     DeleteService('gzounvorio');
     DeleteService('daogktutrivloxj');
     DeleteService('buaidehdyfosreo');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Скрипт выполнила, карантин, вроде, загрузила. Он дошёл? А то в теме здесь не отображается.
    Сейчас логи сделаю.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Карантин получен
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Отчёты - дубль 2

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\dnhwame.sys','');
     DeleteService('trxgfbmuxrjp');
     DeleteFile('C:\DOCUME~1\user_01\LOCALS~1\Temp\dnhwame.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + сообщите, решена ли проблема
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Отправила второй карантин. Сейчас сделаю логи.

  11. #10
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Логи AVZ отправляю, а вот с HiJackThis вопрос: там теперь немного другой набор кнопок доступен: вместо "Do a system scan and save a logfile" есть просто "Scan" и "Info on selected item". Просто "скан" нажать достатчно будет?

  12. #11
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Извините, пожалуйста, сморозила глупость. Там просто другой вид меню надо было выбрать.
    Вот третий отчёт.
    Проблема, вроде, устранена, хотя иногда всё же приходится перед заходом в Интернет нажимать "Исправить", но редко.
    Спасибо!

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    Больше ничего плохого

    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.3 или удалите старый
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Спасибо вам большое!

    Добавлено через 53 минуты

    Прошу прощения, что всё никак не унимаюсь с вопросами.

    Сейчас в ходе "беглой" проверки ДокторВеб нашёл и удалил пять инфицированных объектов в папке C:\Documents and Settings\user_01\Local Settings\Temp. Все 5 файлов имею числовое название и расширение .exe.
    Угроза квалифицирована как Trojan.DownLoad1.54003

    Из неудалённых экзешников с числовым названием в той папке остались:
    097.exe
    459.exe
    641.exe
    669.exe
    764.exe
    960.exe
    994.exe
    1631.exe, 3734.exe, 4486.exe, 4558.exe, 5955.exe, 7700.exe, 8636.exe, 046117.exe, 82497.exe, 881505.exe, 993484.exe, 6310392.exe, 7958249.exe

    Даты создания "свежие": с 17 по 20 апреля сего года.

    Не могли бы вы это тоже посмотреть, пожалуйста?

    Если даёте добро, то напишите, please, как их можно вам выслать. Тоже через карантин АВЗ?
    Последний раз редактировалось Katherine_dea; 21.04.2010 в 01:34. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Да, в карантин их.

  16. #15
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Закачала карантин.

    Кстати, сейчас, когда заходила в Нет, опять пришлось жать кнопку "Исправить". И вылезло сообщение, в заголовке окошечка - надпись "16-разрядная подсистема MS DOS". В самом сообщении вот что:
    ______________________________
    C:\DOCUME~1\user_01\LOCALS~1\Temp\897.exe
    процессор NTVDM обнаружил недопустимую инструкцию.
    (дальше очень много цифр и букв)
    Для завершения работы приложения нажмите кнопку "Закрыть".
    ______________________________

    Когда собирала карантин на отправку, в указанной папке такого файла не было
    В свойствах пишет: создан 21 апреля 2010 г., 8:27:33.
    То есть пять минут назад.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Лог сделала. Пока заходила в интернет и т.д. Симантек внезапно распознал-таки в шести из указанных выше экзешников вирусы и переместил в карантин.

    В отчёте, который сейчас отправляю, не все подозрительные, на мой взгляд, файлы из вот этой папки:
    C:\Documents and Settings\user_01\Local Settings\Temp


    Сейчас там 15 файлов с числовыми названиями и расширением .exe
    Последний раз редактировалось Katherine_dea; 21.04.2010 в 22:19.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Запакуйте все подобные файлы в архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    После этого удалите в МВАМ все найденное + вручную удалите все файлы, не попавшие в лог МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    18.04.2010
    Сообщений
    17
    Вес репутации
    51
    Карантин отправила.

    Добавлено через 17 минут

    Извините за паникёрство: решила добавить в карантин ещё кое-какие файлы. По ходу выяснила, что следующие файлы в карантин помещаться не хотят:

    C:\Documents and Settings\user_01\Local Settings\Temp\MRBF.tmp
    C:\Documents and Settings\user_01\Local Settings\Temp\MRBE.tmp
    C:\Documents and Settings\user_01\Local Settings\Temp\MRB1D.tmp
    C:\Documents and Settings\user_01\Local Settings\Temp\icvqmjylswf9F9F9517.tmp
    C:\Documents and Settings\user_01\Local Settings\Temp\~DFC51B.tmp
    C:\Documents and Settings\user_01\Local Settings\Temp\fqGF4+SX.htm.part

    Добавлено через 8 минут

    Сейчас выполняю проверку в МВАМ, чтобы потом удалить файлы, как вы и сказали. Пока проверяется, решила посмотреть, что где может быть не так. Снова появился файл, который в прошлые разы пытались удалить - и удалили! - с помощью АВЗ:
    C:\Documents and Settings\user_01\Application Data\fxembk.exe

    В свойствах у него:
    создан 21 апреля 201 г., изменён 17 апреля, а открыт 22 апреля. Дурдом какой-то...

    Добавлено через 7 минут

    Появился он и в C:\Documents and Settings\Администратор\Application Data\fxembk.exe

    Странно, что его ещё нет по адресу C:\Documents and Settings\All Users\Application Data
    Последний раз редактировалось Katherine_dea; 21.04.2010 в 23:08. Причина: Добавлено

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

    Добавлено через 1 час 4 минуты

    097.exe и подобные оказались html-страницами
    Последний раз редактировалось thyrex; 22.04.2010 в 00:37. Причина: Добавлено
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Katherine_dea, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 17.06.2012, 17:10
    2. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    3. Ответов: 2
      Последнее сообщение: 10.10.2011, 16:33
    4. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01246 seconds with 17 queries