-
Junior Member
- Вес репутации
- 51
Всплывающие окна, ave.exe, services.exe загружает процессор и т.д.
Здравствуйте.
Прошу помочь с решением проблемы.
При отключении от сети процесс services.exe загружает процессор под 100%. В таком случае вроде бы удается убрать из системы ave.exe (ave.exe можно убрать из автозагрузки, перестают появляться всплывающие окна после перезагрузки)
При подключении к сети services.exe перестает сильно нагружать процессор, но вновь появляется ave.exe и постоянно выскакивают всплывающие окна.
Возможно заражен cdrom.sys и пр.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Андрей\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\documents and settings\Андрей\local settings\application data\ave.exe','');
DeleteFile('c:\documents and settings\Андрей\local settings\application data\ave.exe');
ExecuteRepair(1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 51
При выполнении скрипта при перезагрузке всплывающие окна отсутствуют. Прилагаю свежие отчеты.
Меня настораживают в отчете hijack строки
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
-
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось V_Bond; 23.04.2010 в 14:51.
-
читаем приложение 3 правил
-
-
Junior Member
- Вес репутации
- 51
-
Пофиксите в Hijack
Код:
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\Documents and Settings\Андрей\wuaucldt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил. Карантин закачал. Отчеты прикладываю.
Пофиксить с помощью hijack строку
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
не удается - строка никуда не пропадает.
Есть подозрительные файлы
C:\Documents and Settings\Андрей\Local Settings\Temp\RarSFX1\jpylwxp.exe
C:\Documents and Settings\Андрей\Local Settings\Temp\RarSFX2\jpylwxp.exe
..
Comodo на них ругался, удалить вручную не удается, т.к. чем-то используются.
-
Сообщение от
Andrew111
Есть подозрительные файлы
CureIt пользовались? Скорее всего его хвосты. Удалите ручками
Пофиксите в HiJack
Код:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Сообщение от
Andrew111
Пофиксить с помощью hijack строку
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
не удается - строка никуда не пропадает.
Проверьте ветку реестра HKEY_LOCALE_MACHINE\SOFTWARE\Classes\PROTOCOLS на наличие AutorunsDisabled и удалите соответствующую запись
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
CureIT использовал - с ним возникли проблемы: доходя до файла acpiec.sys компьютер постоянно зависал (с чем может быть связано?), и помогала только кнопка power.
К данному моменту указанные ранее файлы ..\Temp\RarSFX1\jpylwxp.exe удалось удалить вручную.
Пофиксил в HiJack
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Вручную удалил из реестра AutorunsDisabled, больше в отчете hijack он не появляется.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\андрей\local settings\application data\ave.exe - Trojan.Win32.FraudPack.asxt ( DrWEB: Trojan.Fakealert.14907, BitDefender: Gen:Variant.TDss.18, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\андрей\wuaucldt.exe - Backdoor.Win32.HareBot.bdf ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Downloader.Bredolab.DZ, AVAST4: Win32:Rootkit-gen [Rtk] )
-