Показано с 1 по 19 из 19.

Прошу помочь с жутким "oekx.exe' (заявка № 93263)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27

    Thumbs up Прошу помочь с жутким "oekx.exe'

    столкнулась с данной проблемой.. очень прошу помочь. боролась сама 4 дня. не выходит спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     DeleteFileMask('%Tmp%', '*.*', true, '01ARX');
     DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true, '01ARX');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    не смогла залить карантин. пишет,что файл уже был залит
    Последний раз редактировалось Angel_A; 10.12.2010 в 10:48.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    кстати, вирус в самом начале создал себе папку на диске Д. щас не могу ее удалить. ну никак вообще.говорит,что в доступе отказано

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask('%Tmp%', '*.*', true, '01ARX');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    так http://virusinfo.info/showthread.php?t=17228 попробуйте удалить папку с диска d

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    папку сначала не хотел убирать писал deleted failed, но потом таки убрал. но увидела,что есть 4 странно названные папки,которые не убираются вообще никак.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\temp\486.exe');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\temp\082.exe');
    DeleteFileMask('%Tmp%', '*.*', true, '01ARX');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    кстати, может это несущественно, но при загрузке он выбирает между двумя вариантами Windows - одна обычная, а другая какая-то с отладками. причем выбрать не дает, экран обновляется через 2 сек

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    Плохого не видно

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    хорошо, спасибо. буду надеяться,что все удалилось..
    просто уже один раз вроде все убрала. а оно опять появилось..

    Добавлено через 3 часа 0 минут

    гм, сделала по рекомендациям. перешла под ограниченную запись (лечила под админом)
    сейчас вирус царит в юзере, а в одмине ничего.. что делать? все те же скрипты, но в юзере прогнать?
    Последний раз редактировалось Angel_A; 10.12.2010 в 17:10. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    сделайте virusinfo_syscheck.zip под юзером

  14. #13
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    хотя чего там. уже в админскую вирус пролез :/

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\hmm\Application Data\oekx.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\57.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    появился taskman.exe

  17. #16
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    хм?

    Добавлено через 6 минут

    все вернулось. проделываю скрипт- через минут 15, максимум час возвращается все
    Последний раз редактировалось Angel_A; 10.12.2010 в 19:28. Причина: Добавлено

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    Обновления установили, вышедшие после SP3? Если нет, нужно это сделать. У Вас сетевой червь

    Сделайте лог ComboFix
    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    10.12.2010
    Сообщений
    10
    Вес репутации
    27
    если б все дело было только в черве..
    обновления установила

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    Удалите в МВАМ
    Код:
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\alina\application data\oekx.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\alina\local settings\temporary internet files\Content.IE5\DKNF60S6\thenadioscbw[1]._ (Trojan.Agent) -> No action taken.
    c:\documents and settings\hmm\application data\oekx.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\hmm\local settings\temp\27677.exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\hmm\local settings\temp\372529.exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\hmm\local settings\temp\496397.exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\hmm\local settings\temp\9018589.exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\hmm\local settings\temporary internet files\Content.IE5\BEXJ7NRI\meinsummer20019[1].cq (Backdoor.Bot) -> No action taken.
    c:\documents and settings\hmm\local settings\temporary internet files\Content.IE5\BEXJ7NRI\psjefwbh[1]._ (Backdoor.Bot) -> No action taken.
    c:\documents and settings\hmm\local settings\temporary internet files\Content.IE5\BEXJ7NRI\thenadioscbw[1]._ (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M0JSCHH6\nnet[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M0JSCHH6\nnet[2].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M0JSCHH6\nnet[3].exe (Trojan.Agent) -> No action taken.
    c:\Qoobox\quarantine\C\WINDOWS\cfdrive32.exe.vir (Backdoor.Bot) -> No action taken.
    c:\WINDOWS\system32\08.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\83.exe (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Angel_A, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Очень прошу помочь!
      От vgo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.11.2010, 22:50
    2. Прошу помочь.
      От Tolik_P в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.02.2009, 01:02
    3. Прошу помочь!
      От evm180 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.02.2009, 13:58
    4. Прошу помоч
      От Dubstep в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.10.2008, 20:21
    5. Прошу помочь
      От TheWeReWolf в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.06.2008, 13:17

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00247 seconds with 16 queries