Показано с 1 по 9 из 9.

uzcx.exe, dsufp.exe и другие (заявка № 9575)

  1. #1
    Junior Member Репутация
    Регистрация
    08.05.2007
    Адрес
    С.-Пб.
    Сообщений
    4
    Вес репутации
    62

    Exclamation uzcx.exe, dsufp.exe и другие

    Проблема такая. Зашла тут на один нехороший сайт, и пока там была, заметила, как запустилась парочка досовских программ. При этом дизэйблился монитор McAfee, и нажатие "enable on-access scan" его не запускало.

    Проверила файлы Windows по дате последних изменений и нашла следующее:

    windows\winraser.exe, winwr.exe, winxb.exe
    windows\system32\helper.xml, torm.dll
    windows\system32\drivers\uzcx.exe

    Все изменены 08.05. Я, естественно, в этот момент ничего не устанавливала.

    uzcx прописался в автозагрузке и висел в процессах. Кроме того, заметила, что консоль McAfee довольно долго болталась в процессах уже после того, как я из нее вышла.

    Я остановила uzcx и убрала его из автозагрузки. После перезагрузки монитор McAfee, вроде бы, активизировался, но теперь у него, наоборот, не работает "disable on-access scan".

    Проверила McAfee подозрительные файлы, он распознал только torm.dll (Trojan PWS-Banker.gen.bt).

    Когда запустила McAfee на полную проверку, он через какое-то время вылетел с сообщением об ошибке.

    CureIt нашел еще windows\system32\dsufp.exe (подозрение на DLOADER.Trojan), еще кое-что в windows\temp, temporary internet files и в restore и указал на uzcx как на DLOADER.Trojan.

    На winraser.exe, winwr.exe, winxb.exe и helper.xml ни один антивирус вообще не отреагировал...


    Я всё это переместила/удалила. Но McAfee до сих пор вылетает при попытке осуществить полную проверку системы, а его монитор так и не дизэйблится. То ли это просто McAfee так заглючило после тех вирусов, то ли еще что-то осталось в системе... Посмотрите, пожалуйста.

    (Только AVZ у меня почему-то всё время определяет vse800.msi как mailbomb. А это не "бомба", а как раз дистрибутив McAfee...)

    Может, какие-нибудь файлики прислать?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Tais Посмотреть сообщение
    Только AVZ у меня почему-то всё время определяет vse800.msi как mailbomb. А это не "бомба", а как раз дистрибутив McAfee...
    то, что разные защитные программы друг друга, как зловреда опредвляют-зто нормально.
    Пофиксите
    O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll (file missing)
    O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsufp.exe (file missing)
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\dsufp.exe','');
     QuarantineFile('\??\torm.dll','');
    RebootWindows(true);
    end.
    ПК перезагрузится.
    После этого закачайте карантин только в случае, если в него чего-нибудь попадёт.
    Если карантин пуст - сделайте и закачайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    08.05.2007
    Адрес
    С.-Пб.
    Сообщений
    4
    Вес репутации
    62
    Спасибо! Всё сделала, в карантине ничего не оказалось.

    Правда, пока выполнялся скрипт, в поле протокола появлялось какое-то сообщение об ошибке (красненькое) - что-то о карантине. Я не успела рассмотреть, очень уж быстро всё промелькнуло. Но это, наверное, просто потому, что AVZ не нашел тех файлов?
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Попробуйте такой скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('dsufp.exe','');
     QuarantineFile('torm.dll','');
     BC_ImportQuarantineList;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Если что-нибудь попадет в карантин, пришлите файлы карантина по правилам раздела "Помогите". Прикрепите к своему следующему сообщению файл boot_clr.log из папки AVZ.

  6. #5
    Junior Member Репутация
    Регистрация
    08.05.2007
    Адрес
    С.-Пб.
    Сообщений
    4
    Вес репутации
    62
    Спасибо! Этот скрипт тоже запустила. В карантине - только инишники, а лог прикрепляю.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Попробуйте поискать файл dsufp.exe и torm.dll как написано в правилах. Если найдете - пришлите по тем же правилам

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @MaXim
    Попробуйте поискать файл dsufp.exe и torm.dll как написано в правилах. Если найдете - пришлите по тем же правилам
    [HIDE]Скорее всего - нет их более
    O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll (file missing)
    O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsufp.exe (file missing)
    Не факт, Хайджек довольно часто так говорит..
    Просто могло незакарантиниться "Нет смысла выполнять BC_ImportQuarantineList; когда не указаны полные пути к файлам. Бут драйвер не знает стандартных путей и ничего не найдёт. В таком случае есть смысл прописать несколько предпологаемых полных путей." -http://virusinfo.info/showthread.php?p=108656#post108656 (Alex_Goodwin)[/HIDE]
    Последний раз редактировалось Alex_Goodwin; 09.05.2007 в 21:38.

  9. #8
    Junior Member Репутация
    Регистрация
    08.05.2007
    Адрес
    С.-Пб.
    Сообщений
    4
    Вес репутации
    62
    Нет, похоже, всё-таки они в виндовских папках не "респаунятся" - ни в явном виде, ни в скрытом. AVZ, правда, опять пишет об ошибке: "Ошибка карантина файла ... , попытка прямого чтения. Карантин с использованием прямого чтения - ошибка". Но я посмотрела из другой системы, оттуда этих файлов тоже не было видно. По идее, если даже здесь они замаскированы, из другой-то системы их всё равно должно быть видно, ведь так?

    Они у меня тут вообще-то хранились переименованные в отдельной папочке, но я их случайно убила . Поставила триальный NOD32 вместо McAfee, и сунулась туда, забыв отключить удаление без запроса. NOD их опознал, и файлики тю-тю. Даже попробовала систему откатить на момент до установки NOD-а - без толку. Зверюги не восстановились...

    P.S. Прошу прощения, наконец-то дочитала правила до конца - lol. Да, всё-таки были там dsufp и torm в карантине - но с нулевым размером. На всякий случай закачиваю.
    Последний раз редактировалось Tais; 10.05.2007 в 08:32.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Tais, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. 146.185.246.139.f.exe и другие вирусы
      От natasm0709 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.02.2012, 11:21
    2. z-conect и другие
      От zdon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 30.04.2011, 20:51
    3. Other.exe, Fun.exe и другие
      От akalibr в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.06.2010, 23:46
    4. system32.exe и другие
      От InterLife в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 13.12.2009, 16:58
    5. Backdoor.tro и другие...
      От tiger74 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01142 seconds with 20 queries