Перейти к содержанию
Правила раздела

Появляются непонятные процессы... [ОК]

Derek

От Derek
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Derek Новичок

Derek

Опубликовано
Опубликовано

Здрасте. У меня в Д.З. стали появляться процессы с именами IGF4Q, 09VSER79D4N, 8V2Z6D9I5Z и т.д. После чего комп начинает тормозить и перестаёт отвечать на команды. Бывает выскакивает по 20 окошек IE, пока их закрываешь, выскакивает ещё больше. В папке Program files появляются папки с названиями непонятных процессов.

При проверке Антивирусом Касперского, ничего не находит. AVZ тоже не помог.

Сделал всё, как написано здесь http://forum.kasperskyclub.ru/index.php?showtopic=1698 .

прилагаю дополнительно 2 фото...

Жду ответа, спасибо.

hijackthis.txt

virusinfo_syscheck.htm

virusinfo_syscure.htm

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

:(

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{37C97830-8D5D-31E8-F43A-4C436A0695A0}');
DelBHO('{49783C16-737A-D4D6-1C7D-3F13DFC2CBEA}');
DelBHO('{6CAAEBBB-AF8F-C684-BF90-824BB261F3DF}');
DelBHO('{CE3A9136-FECE-E9E1-C6FD-98FCA2C72482}');
QuarantineFile('c:\windows\ulcritinzbkpywv.dll','');
QuarantineFile('c:\windows\hwirynbnuibxrsl.dll','');
QuarantineFile('c:\windows\oivqifctshzowsy.dll','');
QuarantineFile('c:\windows\prqhocyfhbmtj.dll','');
QuarantineFile('C:\Program Files\Q1CPU88EMJC\TA3Y0HZ0.EXE','');
DeleteService('WR9CZ5');
QuarantineFile('C:\Program Files\VDGA4U9GN6V\YOENL0I7.EXE','');
DeleteService('VT606K');
QuarantineFile('C:\Program Files\C9LAO15O\FBKO7B.EXE','');
DeleteService('V40US62SGXP');
QuarantineFile('C:\Program Files\AFOLNZMI\CQNZ5.EXE','');
DeleteService('V35P28RSZ15');
QuarantineFile('C:\Program Files\B70VRH4VE6\EZ9NDN0.EXE','');
DeleteService('V2TL1');
QuarantineFile('C:\Program Files\4TDCALV8J3C\ASS3F1PN.EXE','');
DeleteService('RX8WHF');
QuarantineFile('C:\Program Files\OCUD8S5\BXLWC.EXE','');
DeleteService('RHOPA8H5X8');
QuarantineFile('C:\Program Files\K7W6T840NCCZ\T8W78L28UJ.EXE','');
DeleteService('REHAQCBH');
QuarantineFile('C:\Program Files\I7H8G34AX\AT6WSM.EXE','');
DeleteService('RDF0J08IUWLT');
QuarantineFile('C:\Program Files\3SCK5XL0IS\QQDEQ5Y.EXE','');
DeleteService('PV7WP');
QuarantineFile('C:\Program Files\EAQQKV\NBLWYNO5CMJ.EXE','');
DeleteService('PPRTVFYCK');
QuarantineFile('C:\Program Files\9WY8ZOCZZLF\5WEGUQREL.EXE','');
DeleteService('OPK1R29');
QuarantineFile('C:\Program Files\9G478UAX\P3DUML.EXE','');
DeleteService('OCKXHUW82AA');
QuarantineFile('C:\Program Files\8DZU3MTUF\MD9LDS.EXE','');
DeleteService('NMCY8O3FILL5');
QuarantineFile('C:\Program Files\91FDT\D96J9OLI1I0.EXE','');
DeleteService('MG7XXNFFOA7H');
QuarantineFile('C:\Program Files\6TTC5SE0\94USPY.EXE','');
DeleteService('LO8WXBDCSW7N');
QuarantineFile('C:\Program Files\4P3VHCW3RH\9Z287IM.EXE','');
DeleteService('JIBLH');
QuarantineFile('C:\Program Files\4R6WMWAQ\70592.EXE','');
DeleteService('IJER1VH6QED');
QuarantineFile('C:\Program Files\3SWQRKP4\51V3Y.EXE','');
DeleteService('HMCU7NXJIJ9');
DeleteService('G2Q3LSZR');
QuarantineFile('C:\Program Files\Z7L27C6D\2KBQH.EXE','');
DeleteService('EZ0FFJX682M');
QuarantineFile('C:\Program Files\ZLA0FP5T\2WB5V.EXE','');
DeleteService('CFPCJT0YN9V');
QuarantineFile('C:\Program Files\ZLK53B2K4Y\2ULDNHL.EXE','');
DeleteService('BDZH6');
QuarantineFile('C:\Program Files\WZRCNHFSJU6\Y8PQMVM3.EXE','');
DeleteService('AT6WSM');
QuarantineFile('C:\Program Files\OLJ4ZX7ELO8\QUIAI2K6.EXE','');
DeleteService('9GYH32');
QuarantineFile('C:\Program Files\N6GC0M9PMB\QAFRU5MF.EXE','');
DeleteService('91VW5');
QuarantineFile('C:\Program Files\NL4UZ19N\QU39I.EXE','');
DeleteService('7EC476RXK9H');
QuarantineFile('C:\Program Files\MI5ILN\OR3K8FJDNVY.EXE','');
QuarantineFile('C:\Program Files\KFYEET7GUWI\NR4KPNMG1.EXE','');
DeleteService('7BDQME7OE');
DeleteService('6ANBIJ');
QuarantineFile('C:\Program Files\QRI5X6T\T2GEHJLP2YFK.EXE','');
QuarantineFile('C:\Program Files\I01GY5\L9ZTH58D94IP.EXE','');
QuarantineFile('C:\Program Files\S27GBTP\VC1GVMPQ7J6B.EXE','');
QuarantineFile('C:\Program Files\HLDMXTVGZWKS\KWC1GYCUSZ.EXE','');
QuarantineFile('C:\Program Files\HYY8UF231R\K9XEDLBV.EXE','');
QuarantineFile('C:\Program Files\JHG6540\OQM6EXD84M75.EXE','');
QuarantineFile('C:\Program Files\OFNMDL\RDF0J08IUWLT.EXE','');
QuarantineFile('C:\Program Files\J4MAG\OLQXU6KZYA.EXE','');
DeleteService('4X1UBDAA');
DeleteService('4U7RJIDO1L');
DeleteService('4CPQL29OW2');
DeleteService('3TLYIZ');
DeleteService('3GS61YS');
DeleteService('2BKJG3ZZXV');
DeleteService('1U03OC5Z0');
DeleteService('MXI27WGH7L');
TerminateProcessByName('c:\windows\yt7tkya6okt.exe');
QuarantineFile('c:\windows\yt7tkya6okt.exe','');
TerminateProcessByName('c:\windows\k21sdl5ymu.exe');
QuarantineFile('c:\windows\k21sdl5ymu.exe','');
TerminateProcessByName('c:\windows\jeuw6t.exe');
QuarantineFile('c:\windows\jeuw6t.exe','');
TerminateProcessByName('c:\windows\as98kfeomyz.exe');
QuarantineFile('c:\windows\as98kfeomyz.exe','');
DeleteFile('c:\windows\as98kfeomyz.exe');
DeleteFile('c:\windows\jeuw6t.exe');
DeleteFile('c:\windows\k21sdl5ymu.exe');
DeleteFile('c:\windows\yt7tkya6okt.exe');
DeleteFile('C:\Program Files\J4MAG\OLQXU6KZYA.EXE');
DeleteFile('C:\Program Files\OFNMDL\RDF0J08IUWLT.EXE');
DeleteFile('C:\Program Files\JHG6540\OQM6EXD84M75.EXE');
DeleteFile('C:\Program Files\HYY8UF231R\K9XEDLBV.EXE');
DeleteFile('C:\Program Files\HLDMXTVGZWKS\KWC1GYCUSZ.EXE');
DeleteFile('C:\Program Files\S27GBTP\VC1GVMPQ7J6B.EXE');
DeleteFile('C:\Program Files\I01GY5\L9ZTH58D94IP.EXE');
DeleteFile('C:\Program Files\QRI5X6T\T2GEHJLP2YFK.EXE');
DeleteFile('C:\Program Files\KFYEET7GUWI\NR4KPNMG1.EXE');
DeleteFile('C:\Program Files\MI5ILN\OR3K8FJDNVY.EXE');
DeleteFile('C:\Program Files\NL4UZ19N\QU39I.EXE');
DeleteFile('C:\Program Files\N6GC0M9PMB\QAFRU5MF.EXE');
DeleteFile('C:\Program Files\OLJ4ZX7ELO8\QUIAI2K6.EXE');
DeleteFile('C:\Program Files\WZRCNHFSJU6\Y8PQMVM3.EXE');
DeleteFile('C:\Program Files\ZLK53B2K4Y\2ULDNHL.EXE');
DeleteFile('C:\Program Files\ZLA0FP5T\2WB5V.EXE');
DeleteFile('C:\Program Files\Z7L27C6D\2KBQH.EXE');
DeleteFile('C:\Program Files\1BHGN\4CX6TBGZI85.EXE');
DeleteFile('C:\Program Files\3SWQRKP4\51V3Y.EXE');
DeleteFile('C:\Program Files\4R6WMWAQ\70592.EXE');
DeleteFile('C:\Program Files\4P3VHCW3RH\9Z287IM.EXE');
DeleteFile('C:\Program Files\6TTC5SE0\94USPY.EXE');
DeleteFile('C:\Program Files\91FDT\D96J9OLI1I0.EXE');
DeleteFile('C:\Program Files\8DZU3MTUF\MD9LDS.EXE');
DeleteFile('C:\Program Files\9G478UAX\P3DUML.EXE');
DeleteFile('C:\Program Files\9WY8ZOCZZLF\5WEGUQREL.EXE');
DeleteFile('C:\Program Files\EAQQKV\NBLWYNO5CMJ.EXE');
DeleteFile('C:\Program Files\3SCK5XL0IS\QQDEQ5Y.EXE');
DeleteFile('C:\Program Files\I7H8G34AX\AT6WSM.EXE');
DeleteFile('C:\Program Files\K7W6T840NCCZ\T8W78L28UJ.EXE');
DeleteFile('C:\Program Files\OCUD8S5\BXLWC.EXE');
DeleteFile('C:\Program Files\4TDCALV8J3C\ASS3F1PN.EXE');
DeleteFile('C:\Program Files\B70VRH4VE6\EZ9NDN0.EXE');
DeleteFile('C:\Program Files\AFOLNZMI\CQNZ5.EXE');
DeleteFile('C:\Program Files\C9LAO15O\FBKO7B.EXE');
DeleteFile('C:\Program Files\VDGA4U9GN6V\YOENL0I7.EXE');
DeleteFile('C:\Program Files\Q1CPU88EMJC\TA3Y0HZ0.EXE');
DeleteFile('c:\windows\prqhocyfhbmtj.dll');
DeleteFile('c:\windows\oivqifctshzowsy.dll');
DeleteFile('c:\windows\hwirynbnuibxrsl.dll');
DeleteFile('c:\windows\ulcritinzbkpywv.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Выполните дополнительно

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
Derek Новичок

Derek

Опубликовано
  • Автор
Опубликовано (изменено)
При стольких зловредах с диска бы просканироваться не мешало бы... :(

 

Делал ))

 

 

 

Вот:

 

as98kfeomyz.exe_ - Trojan-Dropper.Win32.Small.dvl,

hwirynbnuibxrsl.dll - Trojan-Downloader.Win32.BHO.oms,

jeuw6t.exe_ - Trojan-Dropper.Win32.Small.dvm,

k21sdl5ymu.exe_ - Trojan-Dropper.Win32.Small.dvn,

oivqifctshzowsy.dll - Trojan-Downloader.Win32.BHO.omt,

prqhocyfhbmtj.dll - Trojan-Downloader.Win32.BHO.omu,

ulcritinzbkpywv.dll - Trojan-Downloader.Win32.BHO.omv,

yt7tkya6okt.exe_ - Trojan-Dropper.Win32.Small.dvo

 

Детектирование файлов будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

 

 

Сообщение от модератора User
Убрал имя аналитика

 

 

забыл написать, непонятные процессы, всё ещё появляются... :)(

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

gmer_1.0.15.15077.log

Изменено пользователем User
Ссылка на комментарий
Поделиться на другие сайты
Derek Новичок

Derek

Опубликовано
  • Автор
Опубликовано

И ещё, эти "процессы" не дают открывать папки, вставлять файлы и открывать программы. При попытке сделать выше указанное, вместо курсора появляются песочные часы и комп зависает, а в ДЗ появляется процесс с непонятным названием. После того, как его завершиш, комп отвисает.

Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано (изменено)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

- Отключите Системное восстановление.

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\8e0npi6q8.exe');
TerminateProcessByName('C:\WINDOWS\H3O2PW.EXE');
DelBHO('{2F0CE9E6-4C58-B690-E015-7F41FCE7A427}');
QuarantineFile('c:\windows\cfkifiwfntvt.dll','');
DeleteService('RB3YQ2QWWD7');
DeleteService('NQABG');
DeleteService('D2NXBT');
QuarantineFile('C:\WINDOWS\H3O2PW.EXE','');
QuarantineFile('C:\WINDOWS\system32\hcjmgmwc.dll','');
QuarantineFile('C:\Program Files\IOEMXTOY\ARMU39.EXE','');
QuarantineFile('C:\Program Files\8V2Z6D9I5Z\51QJH71.EXE','');
QuarantineFile('C:\Program Files\09VSER79D4N\3BUHUYSI.EXE','');
QuarantineFile('c:\windows\8e0npi6q8.exe','');
DeleteFile('C:\WINDOWS\H3O2PW.EXE');
DeleteFile('c:\windows\8e0npi6q8.exe');
DeleteFile('C:\Program Files\09VSER79D4N\3BUHUYSI.EXE');
DeleteFile('C:\Program Files\8V2Z6D9I5Z\51QJH71.EXE');
DeleteFile('C:\Program Files\IOEMXTOY\ARMU39.EXE');
DeleteFile('c:\windows\cfkifiwfntvt.dll');
DeleteFile('C:\WINDOWS\system32\hcjmgmwc.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
RebootWindows(true);
end.

 

 

После перезагрузки

 

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip отошлите на newvirus@kaspersky.com указав пароль virus в теме письма.

 

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8enni2yl.exe (gmer)

8enni2yl.exe -del service tfydciqzt
8enni2yl.exe -del file "C:\WINDOWS\system32\hcjmgmwc.dll"
8enni2yl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tfydciqzt"
8enni2yl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bpxuszps"
8enni2yl.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tfydciqzt"
8enni2yl.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bpxuszps"
8enni2yl.exe -reboot

И запустите cleanup.bat.

Компьютер перезагрузится!

 

Скачайте кидокиллера отсюда, http://support.kaspersky.ru/downloads/utils/kk_v3.4.8.zip пролечитесь.

Сделать новый лог AVZ + gmer.

Поставьте обновления на систему.

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты
Derek Новичок

Derek

Опубликовано
  • Автор
Опубликовано

только что отправил quarantine, на выше указанный адрес.

Как получу ответ, напишу.

з.ы. Сделал, всё, что вы написали. процессы всё ещё появляются :lol:

gmer_13.09.09.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C01BBB84-2CF5-BFFD-189F-ED713CF449BA}');
QuarantineFile('c:\windows\uyotqzyacc.dll','');
QuarantineFile('C:\Program Files\5O50L1E226\8X46UUN.EXE','');
QuarantineFile('C:\Program Files\9XLAUPKFJNF\6LPDV02U.EXE','');
QuarantineFile('C:\Program Files\ECNWO563\NR21Z.EXE','');
DeleteService('PPWRZLV2RMG');
DeleteService('M9JO9EHUNW');
DeleteService('IJDDQ');
TerminateProcessByName('c:\windows\jw5vzptdy.exe');
QuarantineFile('c:\windows\jw5vzptdy.exe','');
DeleteFile('c:\windows\jw5vzptdy.exe');
DeleteFile('C:\Program Files\ECNWO563\NR21Z.EXE');
DeleteFile('C:\Program Files\9XLAUPKFJNF\6LPDV02U.EXE');
DeleteFile('C:\Program Files\5O50L1E226\8X46UUN.EXE');
DeleteFile('c:\windows\uyotqzyacc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сдлелайте новые логи (gmer не нужно)

Ссылка на комментарий
Поделиться на другие сайты
Derek Новичок

Derek

Опубликовано
  • Автор
Опубликовано (изменено)

Ответа с сайта ещё не получал.

Ещё одна беда: после того как выходишь из игры (War3 ) в Д.З. процесс остаётся, хотя игра закрылась. Приходиться убирать их вручную.

virusinfo_syscure.htm

virusinfo_syscheck.htm

Изменено пользователем Derek
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

quarantine.zip из своих постов удалите.

 

В логах нет ничего подозрительного.

 

Выполнить скрипт

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты
Derek Новичок

Derek

Опубликовано
  • Автор
Опубликовано

Да, действительно, процессы больше не появляются.

Но я нашёл файл с именем 9HK73XE72K, при попытке его удалить, появляется окно - ошибка explorer.ru После чего, закрываются все окна, появляется раб. стол без иконок. Через 5 сек всё приходит в норму.

Не подскажите, что это может быть? и как от этого избавиться?

Ссылка на комментарий
Поделиться на другие сайты
Derek Новичок

Derek

Опубликовано
  • Автор
Опубликовано

В безопасном режиме - удалилось.

Прилагаю фото, как "они" выглядели.

Вопрос про процессы, которые остаются в д.з. после закрытия программы, ещё актуален.

И ещё просьба - посмотрите пожалусто фото моих процессов, которые появляются при загрузке компьютера. Всё ли впорядке?

post-11610-1253040433_thumb.png

post-11610-1253040474_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
Roman Merkushin Ветеран

Roman Merkushin

Опубликовано
Опубликовано

Все в порядке.

wdfmgr.exe можешь убрать. Это не вирус, но вещь бесполезная. Пуск - выполнить - services.msc - служба "включение драйверов пользовательского режима Windows" (Windows User Mode Driver Manager) - остановить, а тип запуска поставить "вручную"

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • tranquilo
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw после лечения с перезагрузкой появляется вновь
      От tranquilo
      Здравствуйте! Вирус HEUR:Trojan.Multi.GenBadur.genw, расположение:системная память, после лечения с перезагрузкой появляется вновь.FRST.txt
      2024-11-26_20-05-35_log.txt
    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Сергей98352247
      Пропала мышь и появились новые процессы
      От Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
    • ДмитрийКасперскийКлуб
      [РЕШЕНО] Открытие рекламы при запуске компьютера и запуск непонятных скриптов
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • Добрячок
      [РЕШЕНО] Троян HEUR:Trojan.Multi.GenBadur.genw в System Memory после удаления всегда появляется снова
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
×
×
  • Создать...