Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

J001.exe и еще куча левых процесов (заявка № 82238)

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53

    Thumbs up J001.exe и еще куча левых процесов

    Добрый день. Где-то подцепил вирус. В диспетчере задач куча левых процессов: J001.exe, 288D.exe ,BFGDC.exe, BJMYPRT.exe. Антивирус блокируется, в безопасный режим достучаться не удалось. Помогите пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com','');
     QuarantineFile('C:\WINDOWS\system32\scmasvstart.dll','');
     QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe','');
     DeleteService('eak89ih3edmo');
     DeleteService('ywauohouiyo6uo8');
     QuarantineFile('C:\WINDOWS\system32\hupyqu.exe','');
     QuarantineFile('C:\WINDOWS\system32\cifig.exe','');
     SetServiceStart('cl200961', 4);
     DeleteService('cl200961');
     QuarantineFile('c:\windows\system32\mlyipcm.exe','');
     TerminateProcessByName('c:\windows\system32\ju8hqxw5\j001.exe');
     QuarantineFile('c:\windows\system32\ju8hqxw5\j001.exe','');
     TerminateProcessByName('c:\windows\system32\xixyblvu\j001.exe');
     QuarantineFile('c:\windows\system32\xixyblvu\j001.exe','');
     TerminateProcessByName('c:\windows\system32\xlm57tld\j001.exe');
     QuarantineFile('c:\windows\system32\xlm57tld\j001.exe','');
     TerminateProcessByName('c:\windows\system32\wcetsaho\j001.exe');
     QuarantineFile('c:\windows\system32\wcetsaho\j001.exe','');
     TerminateProcessByName('c:\windows\system32\wdcfm7rn\j001.exe');
     QuarantineFile('c:\windows\system32\wdcfm7rn\j001.exe','');
     TerminateProcessByName('c:\windows\system32\jn3wrw5e\j001.exe');
     QuarantineFile('c:\windows\system32\jn3wrw5e\j001.exe','');
     TerminateProcessByName('c:\windows\system32\jx1nihje\j001.exe');
     QuarantineFile('c:\windows\system32\jx1nihje\j001.exe','');
     TerminateProcessByName('c:\windows\system32\vew7dibd\j001.exe');
     QuarantineFile('c:\windows\system32\vew7dibd\j001.exe','');
     TerminateProcessByName('c:\windows\system32\vuvqq4jb\j001.exe');
     QuarantineFile('c:\windows\system32\vuvqq4jb\j001.exe','');
     TerminateProcessByName('c:\windows\system32\usmj78io\j001.exe');
     QuarantineFile('c:\windows\system32\usmj78io\j001.exe','');
     TerminateProcessByName('c:\windows\system32\uehtckou\j001.exe');
     QuarantineFile('c:\windows\system32\uehtckou\j001.exe','');
     TerminateProcessByName('c:\windows\system32\uscyjar0\j001.exe');
     QuarantineFile('c:\windows\system32\uscyjar0\j001.exe','');
     TerminateProcessByName('c:\windows\system32\ttajc71z\j001.exe');
     QuarantineFile('c:\windows\system32\ttajc71z\j001.exe','');
     TerminateProcessByName('c:\windows\system32\z\j001.exe');
     QuarantineFile('c:\windows\system32\z\j001.exe','');
     TerminateProcessByName('c:\windows\system32\tqxyoevj\j001.exe');
     QuarantineFile('c:\windows\system32\tqxyoevj\j001.exe','');
     TerminateProcessByName('c:\windows\system32\s22iqtj5\j001.exe');
     QuarantineFile('c:\windows\system32\s22iqtj5\j001.exe','');
     TerminateProcessByName('c:\windows\system32\rs6skoyj\j001.exe');
     QuarantineFile('c:\windows\system32\rs6skoyj\j001.exe','');
     TerminateProcessByName('c:\windows\system32\rhh8wlzs\j001.exe');
     QuarantineFile('c:\windows\system32\rhh8wlzs\j001.exe','');
     TerminateProcessByName('c:\windows\system32\qqfzn5ds\j001.exe');
     QuarantineFile('c:\windows\system32\qqfzn5ds\j001.exe','');
     TerminateProcessByName('c:\windows\system32\q0qkgef2\j001.exe');
     QuarantineFile('c:\windows\system32\q0qkgef2\j001.exe','');
     TerminateProcessByName('c:\windows\system32\p0lr3ek8\j001.exe');
     QuarantineFile('c:\windows\system32\p0lr3ek8\j001.exe','');
     TerminateProcessByName('c:\windows\system32\p0trs2eo\j001.exe');
     QuarantineFile('c:\windows\system32\p0trs2eo\j001.exe','');
     TerminateProcessByName('c:\windows\system32\oarijnro\j001.exe');
     QuarantineFile('c:\windows\system32\oarijnro\j001.exe','');
     TerminateProcessByName('c:\windows\system32\os17aixz\j001.exe');
     QuarantineFile('c:\windows\system32\os17aixz\j001.exe','');
     TerminateProcessByName('c:\windows\system32\obtqwcqa\j001.exe');
     QuarantineFile('c:\windows\system32\obtqwcqa\j001.exe','');
     TerminateProcessByName('c:\windows\system32\n3bdwna8\j001.exe');
     QuarantineFile('c:\windows\system32\n3bdwna8\j001.exe','');
     TerminateProcessByName('c:\windows\system32\n0claht2\j001.exe');
     QuarantineFile('c:\windows\system32\n0claht2\j001.exe','');
     TerminateProcessByName('c:\windows\system32\nimazczd\j001.exe');
     QuarantineFile('c:\windows\system32\nimazczd\j001.exe','');
     TerminateProcessByName('c:\windows\system32\m8nqr3o8\j001.exe');
     QuarantineFile('c:\windows\system32\m8nqr3o8\j001.exe','');
     TerminateProcessByName('c:\windows\system32\meo41kc3\j001.exe');
     QuarantineFile('c:\windows\system32\meo41kc3\j001.exe','');
     TerminateProcessByName('c:\windows\system32\mwcmu17o\j001.exe');
     QuarantineFile('c:\windows\system32\mwcmu17o\j001.exe','');
     TerminateProcessByName('c:\windows\system32\ljkp0134\j001.exe');
     QuarantineFile('c:\windows\system32\ljkp0134\j001.exe','');
     TerminateProcessByName('c:\windows\system32\li13lfi1\j001.exe');
     QuarantineFile('c:\windows\system32\li13lfi1\j001.exe','');
     TerminateProcessByName('c:\windows\system32\k2s0ktjf\j001.exe');
     QuarantineFile('c:\windows\system32\k2s0ktjf\j001.exe','');
     TerminateProcessByName('c:\windows\system32\kcqrbfwf\j001.exe');
     QuarantineFile('c:\windows\system32\kcqrbfwf\j001.exe','');
     TerminateProcessByName('c:\windows\system32\kur14jha\j001.exe');
     QuarantineFile('c:\windows\system32\kur14jha\j001.exe','');
     TerminateProcessByName('c:\windows\cl200961.exe');
     QuarantineFile('c:\windows\cl200961.exe','');
     DeleteFile('c:\windows\cl200961.exe');
     DeleteFile('c:\windows\system32\kur14jha\j001.exe');
     DeleteFile('c:\windows\system32\kcqrbfwf\j001.exe');
     DeleteFile('c:\windows\system32\k2s0ktjf\j001.exe');
     DeleteFile('c:\windows\system32\li13lfi1\j001.exe');
     DeleteFile('c:\windows\system32\ljkp0134\j001.exe');
     DeleteFile('c:\windows\system32\mwcmu17o\j001.exe');
     DeleteFile('c:\windows\system32\meo41kc3\j001.exe');
     DeleteFile('c:\windows\system32\m8nqr3o8\j001.exe');
     DeleteFile('c:\windows\system32\nimazczd\j001.exe');
     DeleteFile('c:\windows\system32\n0claht2\j001.exe');
     DeleteFile('c:\windows\system32\n3bdwna8\j001.exe');
     DeleteFile('c:\windows\system32\obtqwcqa\j001.exe');
     DeleteFile('c:\windows\system32\os17aixz\j001.exe');
     DeleteFile('c:\windows\system32\oarijnro\j001.exe');
     DeleteFile('c:\windows\system32\p0trs2eo\j001.exe');
     DeleteFile('c:\windows\system32\p0lr3ek8\j001.exe');
     DeleteFile('c:\windows\system32\q0qkgef2\j001.exe');
     DeleteFile('c:\windows\system32\qqfzn5ds\j001.exe');
     DeleteFile('c:\windows\system32\rhh8wlzs\j001.exe');
     DeleteFile('c:\windows\system32\rs6skoyj\j001.exe');
     DeleteFile('c:\windows\system32\s22iqtj5\j001.exe');
     DeleteFile('c:\windows\system32\tqxyoevj\j001.exe');
     DeleteFile('c:\windows\system32\z\j001.exe');
     DeleteFile('c:\windows\system32\ttajc71z\j001.exe');
     DeleteFile('c:\windows\system32\uscyjar0\j001.exe');
     DeleteFile('c:\windows\system32\uehtckou\j001.exe');
     DeleteFile('c:\windows\system32\usmj78io\j001.exe');
     DeleteFile('c:\windows\system32\vuvqq4jb\j001.exe');
     DeleteFile('c:\windows\system32\vew7dibd\j001.exe');
     DeleteFile('c:\windows\system32\jx1nihje\j001.exe');
     DeleteFile('c:\windows\system32\jn3wrw5e\j001.exe');
     DeleteFile('c:\windows\system32\wdcfm7rn\j001.exe');
     DeleteFile('c:\windows\system32\wcetsaho\j001.exe');
     DeleteFile('c:\windows\system32\xlm57tld\j001.exe');
     DeleteFile('c:\windows\system32\xixyblvu\j001.exe');
     DeleteFile('c:\windows\system32\ju8hqxw5\j001.exe');
     DeleteFile('C:\WINDOWS\system32\cifig.exe');
     DeleteFile('C:\WINDOWS\system32\hupyqu.exe');
     DeleteFile('C:\WINDOWS\mslsrv32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\scmasvstart.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ScmSrv\Parameters','ServiceDll');
     DeleteFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com');
    DeleteFile('%windir%\Tasks\At1.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    Карантин выслал. Логи прилагаю. ComboFix запустить не удалось, пишет что nod32 запущен, хотя я его вырубил через диспетчер.

  5. #4
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    После запуска ComboFix и нескольких нажатий ок компютер перезагрузился. У меня стоит автоматическая загрузка deamon tools при запуске windows, так вот он не запустился а выскочила ошибка.
    ---------------------------
    DAEMON Tools Lite
    ---------------------------
    Для этого приложения необходима, как минимум, Windows 2000 и SPTD 1.60 или выше.
    Отладчик ядра должен быть деактивирован.
    ---------------------------
    ОК
    ---------------------------
    Также вирус вырубил брадмауер и я не могу его запустить.

    Добавлено через 15 минут

    Еще после запуска системы через 10-20 мин. выскакивает сообщение
    ---------------------------
    svchost.exe - Ошибка приложения
    ---------------------------
    Инструкция по адресу "0x6f8916e2" обратилась к памяти по адресу "0x6f8916e2". Память не может быть "read".


    "ОК" -- завершение приложения
    "Отмена" -- отладка приложения
    ---------------------------
    ОК Отмена
    ---------------------------
    После нажатия ок или отмена интернет вырубается. Помогите пожалуйста!!!
    Последний раз редактировалось aleg; 02.07.2010 в 13:56. Причина: Добавлено

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пробуйте зайти в безопасный режим и сделать лог ComboFix из него
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    В безопастный зашел. Запустил combofix. Появилось сообщение
    ---------------------------
    Warning !!
    ---------------------------
    ComboFix has detected the following real time scanner(s) to be active:antivirus: ESET NOD32 Antivirus 4.0Antivirus and intrusion prevention programs are known to interferewith ComboFix's running. This may lead to unpredictable results orpossible machine damage.Please disable these scanners before clicking 'OK'.
    ---------------------------
    ОК
    ---------------------------

    Нажал ок, мне выдало следующие

    ---------------------------
    Warning !!
    ---------------------------
    antivirus: ESET NOD32 Antivirus 4.0The above real time scanner(s) are still active but ComboFix shallcontinue to run. Kindly note that this is at your own risk
    ---------------------------
    ОК
    ---------------------------

    Нажал ок, и ничего.
    На диске создалась папка c:\ComboFix\CF13804.cfxxe
    Подскажите что делать, может деинсталировать nod32?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Деинсталлируйте. Потом заново поставите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    combofix пишет что у меня нет установленной консоли восстановления, предлагает установить, но я так и не смог этого сделать. Он завершает работу, потом предлагает перезагрузится, но на диске c файла combofix.txt нет, есть только папка combofix, а в ней куча файлов. Можно как то без combofix обойтись, а то у меня уже компютер колбасит, языковая панель исчезает.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пробуйте еще раз сделать лог. Консоль восстановления можно не устанавливать. Языковую панель приведем в порядок после завершения лечения
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    Уже второй день вожусь с combofix, все перепробовал. Он вроди как делает лог, потом просит перезагрузить компютер, захожу на диск C, там две новые папки: ComboFix и Qoobox. Файла ComboFix.txt нет. Что же делать?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    Сделал.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Ограниченная\restorer32_a.exe','');
    QuarantineFile('C:\WINDOWS\system32\servises.exe','');
    DeleteFile('C:\WINDOWS\system32\servises.exe');
    QuarantineFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe','');
    DeleteFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe');
    QuarantineFile(' C:\WINDOWS\explorer.exe:userini.exe','');
    DeleteFile(' C:\WINDOWS\explorer.exe:userini.exe');
     QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторить логи AVZ и Хиджака.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А также сделать лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    При перезагрузке по прежнему руская раскладка пропадает. Пока не вырублю процесс mlyipcm.exe интернет не работает.
    Логи сделал.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Когда отключим: Восстановление системы: включено!!! Так до Нового Года биться можем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    Вчера специально смотрел, было отключено. Как включилось, сам в шоке. Отключил.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Повторите скрипт: http://virusinfo.info/showpost.php?p...0&postcount=13
    после него повторите логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    Вот что мне выдала эта програмулька http://virusinfo.info/showpost.php?p=457118&postcount=1

  21. #20
    Junior Member Репутация
    Регистрация
    02.10.2009
    Сообщений
    33
    Вес репутации
    53
    Что мне удалять из всех этих файлов?

    Добавлено через 31 минуту

    Подскажите пожалуйста. Боюсь что-то лишнее грохнуть
    Последний раз редактировалось aleg; 07.07.2010 в 17:20. Причина: Добавлено

  • Уважаемый(ая) aleg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe
      От Cyber Wolf в разделе Помогите!
      Ответов: 46
      Последнее сообщение: 25.12.2010, 00:19
    2. Ali.exe J001.exe D001.exe E001.exe ....
      От goser в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.12.2010, 23:55
    3. J001.exe и его Китайские друзья
      От Aurele в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 02.03.2010, 11:52
    4. Много подозрительных процесов
      От wufer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.10.2009, 16:27
    5. 20 процесов с одним названием
      От xzxFEARxzx в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.03.2007, 06:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01477 seconds with 19 queries