0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
1 | |
tyol.exe, zcfh.exe, gphboo.exe, djjqs.exe13.10.2010, 14:35. Показов 8601. Ответов 66
Метки нет (Все метки)
Выкладываю логи. Все перечисленные в названии файлы обитают в Admin=>Application Data. Ясно, что вирусы, но просто удалить не удается, хочется вылечить нормально.
Еще беспокоит explorer.exe в system32 - AVZ пишет, что подозрительный файл. Кроме того, при запуске Windows открывается папка Мои Документы. По логам AnVira видно, что их запускает этот левый explorer.exe, но в реестре я ничего странного в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe, не нашел. Еще непонятная для меня проблема: при открытии папки С: Documents and Settings\Admin вылезает окно с заголовком и содержанием: Ошибка подключения к Интернету службы Не удается выполнить запрос, так как не удается найти службу, или она не отвечает. Это связано с техническими неполадками или требуется настройка сети. Надеюсь на вашу помощь!. Заранее спасибо.
0
|
13.10.2010, 14:35 | |
Ответы с готовыми решениями:
66
Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe. Словил вирус bizigames Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe Дублируются процессы вирус calc.exe*32 notepad.exe*32 cmd.exe cannhost.exe Вирусы dwm.exe dllhost.exe ctfmon.exe svchost.exe |
4000 / 1579 / 310
Регистрация: 23.06.2009
Сообщений: 5,608
|
|
13.10.2010, 16:25 | 2 |
нужны логи AVZ или Combofix
Если AVZ не удается скачать с офф сайта то попробуйте скачать AVZ отсюда если не будет запускаться, попробуйте запустить таким образом
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
13.10.2010, 17:17 [ТС] | 3 |
Upd!
Два из четырех файлов удалил. Остались gphboo.exe и zcfh.exe . Эти гады засели в HKEY_CURRENT_USER\Software\Microsofr\WindowsNT\CurrentVersion\Winlogon в значении shell и при присвоении ключу простого значения explorer.exe при повторном запуске реестра они снова там прописываются. Выкладываю лог AVZ в этом посте, в первый уже не зайти для редактирования
0
|
4000 / 1579 / 310
Регистрация: 23.06.2009
Сообщений: 5,608
|
|
13.10.2010, 17:27 | 4 |
нужны файлы virusinfo_syscure.zip и virusinfo_syscheck.zip лежать они должны в папке LOG
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
13.10.2010, 18:01 [ТС] | 5 |
Привет. Файлов с таким именем на моём компьютере вообще нет. Соответственно, каким образом они должны там появиться? Что нужно для этого сделать?
Я сделал только сканирование в АУ AVZ и сохранил протокол, который и выложил.
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
13.10.2010, 18:35 [ТС] | 7 |
Спасибо. Сделал. Выкладываю:
0
|
4000 / 1579 / 310
Регистрация: 23.06.2009
Сообщений: 5,608
|
|
13.10.2010, 21:24 | 8 |
Код
Восстановление системы: включено Отключите антивирус и фаервол!!! AVZ, файл, выполнить скрипт Код
begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\explorer.exe',''); QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe',''); QuarantineFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe',''); QuarantineFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe',''); DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\gphboo.exe'); DeleteFile('C:\Documents and Settings\Admin.JGOOSE\Application Data\zcfh.exe'); DeleteFile('C:\System Volume Information\_restore{A13E8959-CB37-49C9-8541-BF1065EB0E4E}\RP213\A0054084.exe'); DeleteFile('C:\WINDOWS\system32\explorer.exe'); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Опять AVZ, выполнить скрипт Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Скачайте свежий AVZ (ссылка есть в Правилах), обновите базы и сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Сделайте логи RSIT (см. Правила) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Добавлено через 2 часа 27 минут В карантине были 20101013.201834 [CL] D:\virus\2010-10-13\avz00001.dta - infected with Trojan.Packed.21082 20101013.201838 [CL] D:\virus\2010-10-13\avz00002.dta - infected with Trojan.MulDrop1.43315 20101013.201838 [CL] D:\virus\2010-10-13\avz00003.dta - infected with Trojan.BitAcc
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
13.10.2010, 21:43 [ТС] | 9 |
Скачать AVZ с оф. сайта не получилось, как и с зеркала.
Логи Rsit: Скоро выложу результаты Malware, очень долго сканирует.
0
|
2824 / 842 / 29
Регистрация: 01.09.2009
Сообщений: 1,038
|
|
13.10.2010, 21:51 | 10 |
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код
:Processes explorer.exe :Services :Files C:\WINDOWS\2781549.exe C:\WINDOWS\0327.exe C:\WINDOWS\044015.exe C:\WINDOWS\4955177.exe :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot] Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Ждем лог MBAM.
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
13.10.2010, 22:07 [ТС] | 11 |
Это у меня проблемы или все ссылки, данные мне, не работают? OTM тоже не скачивается ни с оф. сайта, ни с зеркала.
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
14.10.2010, 01:27 [ТС] | 12 |
Выкладываю логи Malware:
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
14.10.2010, 11:23 | 13 |
вы играете в покер? если нет удалить с помощью MBAM все что он найдет, если играете, строки с сетапом вашего покера можете не удалять
скачать и установить explorer 8 даже если и не пользуетесь, обновить до SP3 ваш виндоус. далее сделать логи AVZ RSIT после лечения вам надо будет сменить все логины и пароли важные для вас
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
14.10.2010, 12:22 [ТС] | 14 |
Попытаюсь полечиться MBAMом, поставлю ie8 и обновлю СервисПак - это без проблем.
Кстати, МБАМ определяет как вредоносные и файлы AVZ и других сканеров - их зачем удалять? Может кто-нибудь объяснить мне, почему после всех произведенных операций, проверок и запущенных скриптов у меня половина сайтов не открывается? При этом в hosts все чисто... Ещё вчера все было нормально.
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
14.10.2010, 14:07 | 15 |
не дописал..не надо удалять..
после удаления MBAM ом статических маршрутов должно быть все нормально.
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
14.10.2010, 17:49 [ТС] | 16 |
Итак.
1. MBAM-ом все, что нужно, удалил. 2. Скачал последнюю версию AVZ и прикрепляю лог после выполнения второго стандартного скрипта. 3. Установил ИЕ8, СП-3 скоро установлю. Надеюсь, система после обновления будет работать корректно?
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
14.10.2010, 22:26 | 17 |
сделать такой скрипт в AVZ
Код
begin ExecuteRepair(11); RebootWindows(true); end. обновить и сделать скрипт стандартный номер три
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
15.10.2010, 13:22 [ТС] | 18 |
Скрипт выполнил, Стандартный скрипт №3 тоже. Выкладываю логи:
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
15.10.2010, 23:03 | 19 |
у вас провайдер Билайн? с:\windows\system32\supportappxl\autodect.exe вероятно от него??
Добавлено через 7 минут сделайте плиз такой скрипт в Avz Код
begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
0
|
0 / 0 / 0
Регистрация: 13.10.2010
Сообщений: 35
|
|
16.10.2010, 01:32 [ТС] | 20 |
Да, это от USB-модема, не опасно
0
|
16.10.2010, 01:32 | |
16.10.2010, 01:32 | |
Помогаю со студенческими работами здесь
20
Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe Svchost.exe, onion.exe, openvg.exe torrc и куча dll и cl, а также папка tor в Roaming Висят процессы mspaint.exe, notepad.exe, calc.exe Файлы smss.exe/winlogon.exe/winhosts.exe Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |