Показано с 1 по 20 из 20.

ali.exe и ярлык IE (заявка № 78851)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51

    Thumbs down ali.exe и ярлык IE

    Здравствуйте.
    Комп был завирусован до жути. Очень много вирусов троянов бэкдоров.
    Чистился с Live usb сканером Dr.web"ом, AVZ, VRT касперского, Malwarebytes Anti-Malware c последними обновлениями.
    После был установлен KAV 2010 и запущен в максимальном режиме. Так эта тварь всё равно живёт и здравствует.
    При открытии любого браузера открывается окно www.dianxin.cn домашняя страница google.ru.
    На рабочем столе есть ярлык IE (не удаляется)
    При нажатии выходит список вида:
    ??(R)
    ????(H)
    ??(D)
    _____
    Создать ярлык.
    Последний раз редактировалось AndreyKa; 25.05.2010 в 17:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\ali.exe');
     QuarantineFile('c:\windows\ali.exe','');
     DeleteFile('c:\windows\ali.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    отправил

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Антивирус отключите. Выполните скрипт еще раз. И снова сделайте логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    Антивирус отключён.
    AVZ пишет:
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Где новые логи?

    Сделайте еще такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    1

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте OTM by OldTimer и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код:
    :Processes
    explorer.exe
    
    :Services
    
    :Files
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    
    :Reg
    
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), заархивируйте его и прикрепите к следующему сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    2

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что сейчас с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    Живёт и здравствует. При подключении кабеля пытается отправить посредством IE чтото в инет.
    OTM не особо помог.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код:
    :Processes
    explorer.exe
    ali.exe
    
    :Services
    
    :Files
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    
    :Reg
    
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), заархивируйте его и прикрепите к следующему сообщению.

    Изменения есть?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    На рабочем столе восстановился ярлык нормального IE.
    IE на www.dianxin.cn теперь не пытается выйти
    Но Firefox и Google Chrome выходят.
    Процесс ali.exe висит в памяти
    Последний раз редактировалось inskra; 21.05.2010 в 09:52.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте еще раз лог ComboFix и стандартные логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    да чтож за зверь та такой лютый.
    Вложения Вложения

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Утилиту KLAntiFunLove от Лаборатории Касперского Вы загружали?

    Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
    Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
    Код:
    Drivers to disable:
    
    Drivers to delete:
    
    Files to delete:
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    
    Folders to delete:
    
    Registry values to delete:
    
    Registry keys to delete:
    Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.

    Нажмите Execute и подтвердите, нажав Yes

    Avenger автоматически выполнит следующее:
    * Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
    * При перезагрузке кратковременно появится черное окно, это нормально
    * После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
    * Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

    c:\avenger.txt прикрепите к следующему сообщению.

    Добавлено через 4 часа 24 минуты

    Сделайте еще лог gmer
    Последний раз редактировалось thyrex; 22.05.2010 в 01:17. Причина: Добавлено
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    Перепробывал все утилиты касперского, ничего не нашлось.
    Также уже перепробывал пачку анти spyware и rootkit утилит, файлы находятся и удаляются в system32. Но по логам они в 0 байт.
    ali.exe живёт и здравствует.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    У Вас bootkit
    Нужно загрузиться с консоли восстановления и выполнить команду fixmbr
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    10
    Вес репутации
    51
    Процесс ali.exe больше не закпускается.
    А как быть с файлами по 0 байт находящиеся в процессе system?
    Код:
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\marco!.scr
    c:\windows\instit.bat
    c:\windows\brasil.pif
    c:\windows\ali.exe
    Пробывал удалить avengerom по скрипту выше. Безрезультатно.
    В Google Chrome и Firefox всё равно открывается dianxin.cn

    Вообщем систему переставляю, больше клиент не может ждать.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) inskra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу удалить ярлык IE
      От aya в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.03.2011, 12:23
    2. как удалить не рабочий ярлык ?
      От shidorin в разделе Microsoft Windows
      Ответов: 8
      Последнее сообщение: 24.10.2010, 23:03
    3. Ответов: 3
      Последнее сообщение: 17.08.2010, 22:36
    4. Некорректно отображается ярлык
      От KOPERATOR в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 24.07.2009, 22:34
    5. Неизвестный мне ярлык
      От Stec в разделе Windows для опытных пользователей
      Ответов: 8
      Последнее сообщение: 27.10.2008, 19:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01571 seconds with 17 queries