tyol.exe, zcfh.exe, gphboo.exe, djjqs.exe

@Goose · Регистрация: 13.10.2010

Author24 — интернет-сервис помощи студентам

Выкладываю логи. Все перечисленные в названии файлы обитают в Admin=>Application Data. Ясно, что вирусы, но просто удалить не удается, хочется вылечить нормально.

Еще беспокоит explorer.exe в system32 - AVZ пишет, что подозрительный файл.
Кроме того, при запуске Windows открывается папка Мои Документы. По логам AnVira видно, что их запускает этот левый explorer.exe, но в реестре я ничего странного в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,
не нашел.

Еще непонятная для меня проблема: при открытии папки С: Documents and Settings\Admin вылезает окно с заголовком и содержанием:

Ошибка подключения к Интернету службы
Не удается выполнить запрос, так как не удается найти службу, или она не отвечает. Это связано с техническими неполадками или требуется настройка сети.

Надеюсь на вашу помощь!. Заранее спасибо.

@.None · 13.10.2010, 16:25

нужны логи AVZ или Combofix

Если AVZ не удается скачать с офф сайта то попробуйте скачать AVZ отсюда

если не будет запускаться, попробуйте запустить таким образом

@Goose · 13.10.2010, 17:17 **[ТС]**

Upd!
Два из четырех файлов удалил. Остались gphboo.exe и zcfh.exe . Эти гады засели в
HKEY_CURRENT_USER\Software\Microsofr\WindowsNT\CurrentVersion\Winlogon в значении shell и при присвоении ключу простого значения explorer.exe при повторном запуске реестра они снова там прописываются.

Выкладываю лог AVZ в этом посте, в первый уже не зайти для редактирования

@.None · 13.10.2010, 17:27

нужны файлы virusinfo_syscure.zip и virusinfo_syscheck.zip лежать они должны в папке LOG

@Goose · 13.10.2010, 18:01 **[ТС]**

Привет. Файлов с таким именем на моём компьютере вообще нет. Соответственно, каким образом они должны там появиться? Что нужно для этого сделать?
Я сделал только сканирование в АУ AVZ и сохранил протокол, который и выложил.

@.None · 13.10.2010, 18:03

Нужно прочитать и выполнить п. 2 и 3 Правил раздела Диагностика

@Goose · 13.10.2010, 18:35 **[ТС]**

Спасибо. Сделал. Выкладываю:

@.None · 13.10.2010, 21:24

Код

Восстановление системы: включено

Срочно отключить!!!

Отключите антивирус и фаервол!!!

AVZ, файл, выполнить скрипт

Код

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe','');
 QuarantineFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe','');
 DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe');
 DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe');
 DeleteFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe');
 DeleteFile('C:\WINDOWS\system32\explorer.exe');
 ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!!!

Опять AVZ, выполнить скрипт

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС.

Скачайте свежий AVZ (ссылка есть в Правилах), обновите базы и сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Сделайте логи RSIT (см. Правила)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Добавлено через 2 часа 27 минут
В карантине были
20101013.201834 [CL] D:\virus\2010-10-13\avz00001.dta - infected with Trojan.Packed.21082
20101013.201838 [CL] D:\virus\2010-10-13\avz00002.dta - infected with Trojan.MulDrop1.43315
20101013.201838 [CL] D:\virus\2010-10-13\avz00003.dta - infected with Trojan.BitAcc

@Goose · 13.10.2010, 21:43 **[ТС]**

Скачать AVZ с оф. сайта не получилось, как и с зеркала.

Логи Rsit:

Скоро выложу результаты Malware, очень долго сканирует.

@akok · 13.10.2010, 21:51

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\2781549.exe
C:\WINDOWS\0327.exe
C:\WINDOWS\044015.exe
C:\WINDOWS\4955177.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Ждем лог MBAM.

@Goose · 13.10.2010, 22:07 **[ТС]**

Это у меня проблемы или все ссылки, данные мне, не работают? OTM тоже не скачивается ни с оф. сайта, ни с зеркала.

@Goose · 14.10.2010, 01:27 **[ТС]**

Выкладываю логи Malware:

@arbitr · 14.10.2010, 11:23

вы играете в покер? если нет удалить с помощью MBAM все что он найдет, если играете, строки с сетапом вашего покера можете не удалять
скачать и установить explorer 8 даже если и не пользуетесь, обновить до SP3 ваш виндоус.
далее сделать логи AVZ RSIT
после лечения вам надо будет сменить все логины и пароли важные для вас

@Goose · 14.10.2010, 12:22 **[ТС]**

Попытаюсь полечиться MBAMом, поставлю ie8 и обновлю СервисПак - это без проблем.
Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять?

Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально.

@arbitr · 14.10.2010, 14:07

Сообщение от Goose

Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять?

не дописал..не надо удалять..

Сообщение от Goose

Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально.

после удаления MBAM ом статических маршрутов должно быть все нормально.

@Goose · 14.10.2010, 17:49 **[ТС]**

Итак.
1. MBAM-ом все, что нужно, удалил.
2. Скачал последнюю версию AVZ и прикрепляю лог после выполнения второго стандартного скрипта.
3. Установил ИЕ8, СП-3 скоро установлю. Надеюсь, система после обновления будет работать корректно?

@arbitr · 14.10.2010, 22:26

сделать такой скрипт в AVZ

Код

begin
ExecuteRepair(11);
RebootWindows(true);
end.

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
обновить и сделать скрипт стандартный номер три

@Goose · 15.10.2010, 13:22 **[ТС]**

Скрипт выполнил, Стандартный скрипт №3 тоже. Выкладываю логи:

@arbitr · 15.10.2010, 23:03

у вас провайдер Билайн? с:\windows\system32\supportappxl\autodect.exe вероятно от него??

Добавлено через 7 минут
сделайте плиз такой скрипт в Avz

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

и повторите скрипт номер три

@Goose · 16.10.2010, 01:32 **[ТС]**

Да, это от USB-модема, не опасно

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	15.10.2010, 23:03	19
	у вас провайдер Билайн? с:\windows\system32\supportappxl\autodect.exe вероятно от него?? Добавлено через 7 минут сделайте плиз такой скрипт в Avz Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end. и повторите скрипт номер три 0

@.None 4000 / 1579 / 310 Регистрация: 23.06.2009 Сообщений: 5,608
	13.10.2010, 16:25	2
	нужны логи AVZ или Combofix Если AVZ не удается скачать с офф сайта то попробуйте скачать AVZ отсюда если не будет запускаться, попробуйте запустить таким образом 0

@.None 4000 / 1579 / 310 Регистрация: 23.06.2009 Сообщений: 5,608
	13.10.2010, 17:27	4
	нужны файлы virusinfo_syscure.zip и virusinfo_syscheck.zip лежать они должны в папке LOG 0

@Goose 0 / 0 / 0 Регистрация: 13.10.2010 Сообщений: 35
	13.10.2010, 18:01 [ТС]	5
	Привет. Файлов с таким именем на моём компьютере вообще нет. Соответственно, каким образом они должны там появиться? Что нужно для этого сделать? Я сделал только сканирование в АУ AVZ и сохранил протокол, который и выложил. 0

@.None 4000 / 1579 / 310 Регистрация: 23.06.2009 Сообщений: 5,608
	13.10.2010, 18:03	6
	Нужно прочитать и выполнить п. 2 и 3 Правил раздела Диагностика 0

@.None 4000 / 1579 / 310 Регистрация: 23.06.2009 Сообщений: 5,608
	13.10.2010, 21:24	8
	Код Восстановление системы: включено Срочно отключить!!! Отключите антивирус и фаервол!!! AVZ, файл, выполнить скрипт Код begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\explorer.exe',''); QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe',''); QuarantineFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe',''); QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe',''); DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe'); DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe'); DeleteFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe'); DeleteFile('C:\WINDOWS\system32\explorer.exe'); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится!!! Опять AVZ, выполнить скрипт Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС. Скачайте свежий AVZ (ссылка есть в Правилах), обновите базы и сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Сделайте логи RSIT (см. Правила) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Добавлено через 2 часа 27 минут В карантине были 20101013.201834 [CL] D:\virus\2010-10-13\avz00001.dta - infected with Trojan.Packed.21082 20101013.201838 [CL] D:\virus\2010-10-13\avz00002.dta - infected with Trojan.MulDrop1.43315 20101013.201838 [CL] D:\virus\2010-10-13\avz00003.dta - infected with Trojan.BitAcc 0

@akok 2824 / 842 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
	13.10.2010, 21:51	10
	Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код :Processes explorer.exe :Services :Files C:\WINDOWS\2781549.exe C:\WINDOWS\0327.exe C:\WINDOWS\044015.exe C:\WINDOWS\4955177.exe :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". *Компьютер перезагрузится.* После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Ждем лог MBAM. 0

@Goose 0 / 0 / 0 Регистрация: 13.10.2010 Сообщений: 35
	13.10.2010, 22:07 [ТС]	11
	Это у меня проблемы или все ссылки, данные мне, не работают? OTM тоже не скачивается ни с оф. сайта, ни с зеркала. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	14.10.2010, 11:23	13
	вы играете в покер? если нет удалить с помощью MBAM все что он найдет, если играете, строки с сетапом вашего покера можете не удалять скачать и установить explorer 8 даже если и не пользуетесь, обновить до SP3 ваш виндоус. далее сделать логи AVZ RSIT после лечения вам надо будет сменить все логины и пароли важные для вас 0

@Goose 0 / 0 / 0 Регистрация: 13.10.2010 Сообщений: 35
	14.10.2010, 12:22 [ТС]	14
	Попытаюсь полечиться MBAMом, поставлю ie8 и обновлю СервисПак - это без проблем. Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять? Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	14.10.2010, 14:07	15
	Сообщение от Goose Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять? не дописал..не надо удалять.. Сообщение от Goose Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально. после удаления MBAM ом статических маршрутов должно быть все нормально. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	14.10.2010, 22:26	17
	сделать такой скрипт в AVZ Код begin ExecuteRepair(11); RebootWindows(true); end. Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) обновить и сделать скрипт стандартный номер три 0

@Goose 0 / 0 / 0 Регистрация: 13.10.2010 Сообщений: 35
	16.10.2010, 01:32 [ТС]	20
	Да, это от USB-модема, не опасно 0