Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.66/35: Рейтинг темы: голосов - 35, средняя оценка - 4.66
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
1

tyol.exe, zcfh.exe, gphboo.exe, djjqs.exe

13.10.2010, 14:35. Просмотров 6788. Ответов 66
Метки нет (Все метки)

Выкладываю логи. Все перечисленные в названии файлы обитают в Admin=>Application Data. Ясно, что вирусы, но просто удалить не удается, хочется вылечить нормально.

Еще беспокоит explorer.exe в system32 - AVZ пишет, что подозрительный файл.
Кроме того, при запуске Windows открывается папка Мои Документы. По логам AnVira видно, что их запускает этот левый explorer.exe, но в реестре я ничего странного в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,
не нашел.

Еще непонятная для меня проблема: при открытии папки С: Documents and Settings\Admin вылезает окно с заголовком и содержанием:

Ошибка подключения к Интернету службы
Не удается выполнить запрос, так как не удается найти службу, или она не отвечает. Это связано с техническими неполадками или требуется настройка сети.

Надеюсь на вашу помощь!. Заранее спасибо.
0
Вложения
Тип файла: rar osam.rar (9.0 Кб, 60 просмотров)
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
13.10.2010, 14:35
Ответы с готовыми решениями:

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe. Словил вирус bizigames
Доброго времени суток. Захотел я почистить комп от мусора всякого при помощи CCleaner, как не...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe Дублируются процессы
Добрый день) не запускались экзешники перечисленные в топе, исправила кое как процессы...

вирус calc.exe*32 notepad.exe*32 cmd.exe cannhost.exe
Здравствуйте. помогите решить проблему. При включении компьютера висят процессы calc.exe*32 ...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe
Доброе время суток. У меня такая проблема: Не запускаются AVZ. exe, CCleaner. exe, AutoLogger....

Вирусы dwm.exe dllhost.exe ctfmon.exe svchost.exe
Проблема заключается в том что у меня на компьютере в диспетчере задач стоят задачи которые я не...

66
.None
Эксперт по компьютерным сетям
2853 / 1050 / 163
Регистрация: 23.06.2009
Сообщений: 3,685
13.10.2010, 16:25 2
нужны логи AVZ или Combofix

Если AVZ не удается скачать с офф сайта то попробуйте скачать AVZ отсюда

если не будет запускаться, попробуйте запустить таким образом
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
13.10.2010, 17:17  [ТС] 3
Upd!
Два из четырех файлов удалил. Остались gphboo.exe и zcfh.exe . Эти гады засели в
HKEY_CURRENT_USER\Software\Microsofr\WindowsNT\CurrentVersion\Winlogon в значении shell и при присвоении ключу простого значения explorer.exe при повторном запуске реестра они снова там прописываются.

Выкладываю лог AVZ в этом посте, в первый уже не зайти для редактирования
0
Вложения
Тип файла: rar avz_log.rar (2.4 Кб, 30 просмотров)
.None
Эксперт по компьютерным сетям
2853 / 1050 / 163
Регистрация: 23.06.2009
Сообщений: 3,685
13.10.2010, 17:27 4
нужны файлы virusinfo_syscure.zip и virusinfo_syscheck.zip лежать они должны в папке LOG
0
13.10.2010, 17:27
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
13.10.2010, 18:01  [ТС] 5
Привет. Файлов с таким именем на моём компьютере вообще нет. Соответственно, каким образом они должны там появиться? Что нужно для этого сделать?
Я сделал только сканирование в АУ AVZ и сохранил протокол, который и выложил.
0
.None
Эксперт по компьютерным сетям
2853 / 1050 / 163
Регистрация: 23.06.2009
Сообщений: 3,685
13.10.2010, 18:03 6
Нужно прочитать и выполнить п. 2 и 3 Правил раздела Диагностика
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
13.10.2010, 18:35  [ТС] 7
Спасибо. Сделал. Выкладываю:
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (52.2 Кб, 12 просмотров)
Тип файла: zip virusinfo_syscure.zip (53.1 Кб, 13 просмотров)
.None
Эксперт по компьютерным сетям
2853 / 1050 / 163
Регистрация: 23.06.2009
Сообщений: 3,685
13.10.2010, 21:24 8
Код
Восстановление системы: включено
Срочно отключить!!!

Отключите антивирус и фаервол!!!

AVZ, файл, выполнить скрипт
Код
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe','');
 QuarantineFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe','');
 DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe');
 DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe');
 DeleteFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe');
 DeleteFile('C:\WINDOWS\system32\explorer.exe');
 ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится!!!

Опять AVZ, выполнить скрипт
Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС.

Скачайте свежий AVZ (ссылка есть в Правилах), обновите базы и сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Сделайте логи RSIT (см. Правила)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Добавлено через 2 часа 27 минут
В карантине были
20101013.201834 [CL] D:\virus\2010-10-13\avz00001.dta - infected with Trojan.Packed.21082
20101013.201838 [CL] D:\virus\2010-10-13\avz00002.dta - infected with Trojan.MulDrop1.43315
20101013.201838 [CL] D:\virus\2010-10-13\avz00003.dta - infected with Trojan.BitAcc
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
13.10.2010, 21:43  [ТС] 9
Скачать AVZ с оф. сайта не получилось, как и с зеркала.

Логи Rsit:

Скоро выложу результаты Malware, очень долго сканирует.
0
Вложения
Тип файла: txt info.txt (10.6 Кб, 27 просмотров)
Тип файла: rar log.rar (6.9 Кб, 20 просмотров)
akok
Вирусоборец
2723 / 749 / 21
Регистрация: 01.09.2009
Сообщений: 929
13.10.2010, 21:51 10
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\2781549.exe
C:\WINDOWS\0327.exe
C:\WINDOWS\044015.exe
C:\WINDOWS\4955177.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Ждем лог MBAM.
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
13.10.2010, 22:07  [ТС] 11
Это у меня проблемы или все ссылки, данные мне, не работают? OTM тоже не скачивается ни с оф. сайта, ни с зеркала.
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
14.10.2010, 01:27  [ТС] 12
Выкладываю логи Malware:
0
Вложения
Тип файла: rar mbam-log-2010-10-14 (01-25-16).rar (2.7 Кб, 15 просмотров)
arbitr
Вирусоборец
1073 / 368 / 3
Регистрация: 05.08.2010
Сообщений: 1,054
14.10.2010, 11:23 13
вы играете в покер? если нет удалить с помощью MBAM все что он найдет, если играете, строки с сетапом вашего покера можете не удалять
скачать и установить explorer 8 даже если и не пользуетесь, обновить до SP3 ваш виндоус.
далее сделать логи AVZ RSIT
после лечения вам надо будет сменить все логины и пароли важные для вас
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
14.10.2010, 12:22  [ТС] 14
Попытаюсь полечиться MBAMом, поставлю ie8 и обновлю СервисПак - это без проблем.
Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять?

Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально.
0
arbitr
Вирусоборец
1073 / 368 / 3
Регистрация: 05.08.2010
Сообщений: 1,054
14.10.2010, 14:07 15
Цитата Сообщение от Goose Посмотреть сообщение
Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять?
не дописал..не надо удалять..
Цитата Сообщение от Goose Посмотреть сообщение
Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально.
после удаления MBAM ом статических маршрутов должно быть все нормально.
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
14.10.2010, 17:49  [ТС] 16
Итак.
1. MBAM-ом все, что нужно, удалил.
2. Скачал последнюю версию AVZ и прикрепляю лог после выполнения второго стандартного скрипта.
3. Установил ИЕ8, СП-3 скоро установлю. Надеюсь, система после обновления будет работать корректно?
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (25.0 Кб, 10 просмотров)
arbitr
Вирусоборец
1073 / 368 / 3
Регистрация: 05.08.2010
Сообщений: 1,054
14.10.2010, 22:26 17
сделать такой скрипт в AVZ
Код
begin
ExecuteRepair(11);
RebootWindows(true);
end.
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
обновить и сделать скрипт стандартный номер три
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
15.10.2010, 13:22  [ТС] 18
Скрипт выполнил, Стандартный скрипт №3 тоже. Выкладываю логи:
0
Вложения
Тип файла: zip virusinfo_syscure.zip (29.3 Кб, 9 просмотров)
arbitr
Вирусоборец
1073 / 368 / 3
Регистрация: 05.08.2010
Сообщений: 1,054
15.10.2010, 23:03 19
у вас провайдер Билайн? с:\windows\system32\supportappxl\autodect.exe вероятно от него??

Добавлено через 7 минут
сделайте плиз такой скрипт в Avz
Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
и повторите скрипт номер три
0
Goose
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
16.10.2010, 01:32  [ТС] 20
Да, это от USB-модема, не опасно
0
16.10.2010, 01:32
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.10.2010, 01:32

Svchost.exe, onion.exe, openvg.exe torrc и куча dll и cl, а также папка tor в Roaming

Висят процессы mspaint.exe, notepad.exe, calc.exe
Добрый день! При включение компьютера сразу висят процессы mspaint.exe, notepad.exe, calc.exe. Так...

Файлы smss.exe/winlogon.exe/winhosts.exe
после блокировки банера в папке WINDOWS есть файлы smss.exe/winlogon.exe/winhosts.exe должны ли они...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.