Derek Опубликовано 8 сентября, 2009 Опубликовано 8 сентября, 2009 Здрасте. У меня в Д.З. стали появляться процессы с именами IGF4Q, 09VSER79D4N, 8V2Z6D9I5Z и т.д. После чего комп начинает тормозить и перестаёт отвечать на команды. Бывает выскакивает по 20 окошек IE, пока их закрываешь, выскакивает ещё больше. В папке Program files появляются папки с названиями непонятных процессов. При проверке Антивирусом Касперского, ничего не находит. AVZ тоже не помог. Сделал всё, как написано здесь http://forum.kasperskyclub.ru/index.php?showtopic=1698 . прилагаю дополнительно 2 фото... Жду ответа, спасибо. hijackthis.txt virusinfo_syscheck.htm virusinfo_syscure.htm
thyrex Опубликовано 8 сентября, 2009 Опубликовано 8 сентября, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{37C97830-8D5D-31E8-F43A-4C436A0695A0}'); DelBHO('{49783C16-737A-D4D6-1C7D-3F13DFC2CBEA}'); DelBHO('{6CAAEBBB-AF8F-C684-BF90-824BB261F3DF}'); DelBHO('{CE3A9136-FECE-E9E1-C6FD-98FCA2C72482}'); QuarantineFile('c:\windows\ulcritinzbkpywv.dll',''); QuarantineFile('c:\windows\hwirynbnuibxrsl.dll',''); QuarantineFile('c:\windows\oivqifctshzowsy.dll',''); QuarantineFile('c:\windows\prqhocyfhbmtj.dll',''); QuarantineFile('C:\Program Files\Q1CPU88EMJC\TA3Y0HZ0.EXE',''); DeleteService('WR9CZ5'); QuarantineFile('C:\Program Files\VDGA4U9GN6V\YOENL0I7.EXE',''); DeleteService('VT606K'); QuarantineFile('C:\Program Files\C9LAO15O\FBKO7B.EXE',''); DeleteService('V40US62SGXP'); QuarantineFile('C:\Program Files\AFOLNZMI\CQNZ5.EXE',''); DeleteService('V35P28RSZ15'); QuarantineFile('C:\Program Files\B70VRH4VE6\EZ9NDN0.EXE',''); DeleteService('V2TL1'); QuarantineFile('C:\Program Files\4TDCALV8J3C\ASS3F1PN.EXE',''); DeleteService('RX8WHF'); QuarantineFile('C:\Program Files\OCUD8S5\BXLWC.EXE',''); DeleteService('RHOPA8H5X8'); QuarantineFile('C:\Program Files\K7W6T840NCCZ\T8W78L28UJ.EXE',''); DeleteService('REHAQCBH'); QuarantineFile('C:\Program Files\I7H8G34AX\AT6WSM.EXE',''); DeleteService('RDF0J08IUWLT'); QuarantineFile('C:\Program Files\3SCK5XL0IS\QQDEQ5Y.EXE',''); DeleteService('PV7WP'); QuarantineFile('C:\Program Files\EAQQKV\NBLWYNO5CMJ.EXE',''); DeleteService('PPRTVFYCK'); QuarantineFile('C:\Program Files\9WY8ZOCZZLF\5WEGUQREL.EXE',''); DeleteService('OPK1R29'); QuarantineFile('C:\Program Files\9G478UAX\P3DUML.EXE',''); DeleteService('OCKXHUW82AA'); QuarantineFile('C:\Program Files\8DZU3MTUF\MD9LDS.EXE',''); DeleteService('NMCY8O3FILL5'); QuarantineFile('C:\Program Files\91FDT\D96J9OLI1I0.EXE',''); DeleteService('MG7XXNFFOA7H'); QuarantineFile('C:\Program Files\6TTC5SE0\94USPY.EXE',''); DeleteService('LO8WXBDCSW7N'); QuarantineFile('C:\Program Files\4P3VHCW3RH\9Z287IM.EXE',''); DeleteService('JIBLH'); QuarantineFile('C:\Program Files\4R6WMWAQ\70592.EXE',''); DeleteService('IJER1VH6QED'); QuarantineFile('C:\Program Files\3SWQRKP4\51V3Y.EXE',''); DeleteService('HMCU7NXJIJ9'); DeleteService('G2Q3LSZR'); QuarantineFile('C:\Program Files\Z7L27C6D\2KBQH.EXE',''); DeleteService('EZ0FFJX682M'); QuarantineFile('C:\Program Files\ZLA0FP5T\2WB5V.EXE',''); DeleteService('CFPCJT0YN9V'); QuarantineFile('C:\Program Files\ZLK53B2K4Y\2ULDNHL.EXE',''); DeleteService('BDZH6'); QuarantineFile('C:\Program Files\WZRCNHFSJU6\Y8PQMVM3.EXE',''); DeleteService('AT6WSM'); QuarantineFile('C:\Program Files\OLJ4ZX7ELO8\QUIAI2K6.EXE',''); DeleteService('9GYH32'); QuarantineFile('C:\Program Files\N6GC0M9PMB\QAFRU5MF.EXE',''); DeleteService('91VW5'); QuarantineFile('C:\Program Files\NL4UZ19N\QU39I.EXE',''); DeleteService('7EC476RXK9H'); QuarantineFile('C:\Program Files\MI5ILN\OR3K8FJDNVY.EXE',''); QuarantineFile('C:\Program Files\KFYEET7GUWI\NR4KPNMG1.EXE',''); DeleteService('7BDQME7OE'); DeleteService('6ANBIJ'); QuarantineFile('C:\Program Files\QRI5X6T\T2GEHJLP2YFK.EXE',''); QuarantineFile('C:\Program Files\I01GY5\L9ZTH58D94IP.EXE',''); QuarantineFile('C:\Program Files\S27GBTP\VC1GVMPQ7J6B.EXE',''); QuarantineFile('C:\Program Files\HLDMXTVGZWKS\KWC1GYCUSZ.EXE',''); QuarantineFile('C:\Program Files\HYY8UF231R\K9XEDLBV.EXE',''); QuarantineFile('C:\Program Files\JHG6540\OQM6EXD84M75.EXE',''); QuarantineFile('C:\Program Files\OFNMDL\RDF0J08IUWLT.EXE',''); QuarantineFile('C:\Program Files\J4MAG\OLQXU6KZYA.EXE',''); DeleteService('4X1UBDAA'); DeleteService('4U7RJIDO1L'); DeleteService('4CPQL29OW2'); DeleteService('3TLYIZ'); DeleteService('3GS61YS'); DeleteService('2BKJG3ZZXV'); DeleteService('1U03OC5Z0'); DeleteService('MXI27WGH7L'); TerminateProcessByName('c:\windows\yt7tkya6okt.exe'); QuarantineFile('c:\windows\yt7tkya6okt.exe',''); TerminateProcessByName('c:\windows\k21sdl5ymu.exe'); QuarantineFile('c:\windows\k21sdl5ymu.exe',''); TerminateProcessByName('c:\windows\jeuw6t.exe'); QuarantineFile('c:\windows\jeuw6t.exe',''); TerminateProcessByName('c:\windows\as98kfeomyz.exe'); QuarantineFile('c:\windows\as98kfeomyz.exe',''); DeleteFile('c:\windows\as98kfeomyz.exe'); DeleteFile('c:\windows\jeuw6t.exe'); DeleteFile('c:\windows\k21sdl5ymu.exe'); DeleteFile('c:\windows\yt7tkya6okt.exe'); DeleteFile('C:\Program Files\J4MAG\OLQXU6KZYA.EXE'); DeleteFile('C:\Program Files\OFNMDL\RDF0J08IUWLT.EXE'); DeleteFile('C:\Program Files\JHG6540\OQM6EXD84M75.EXE'); DeleteFile('C:\Program Files\HYY8UF231R\K9XEDLBV.EXE'); DeleteFile('C:\Program Files\HLDMXTVGZWKS\KWC1GYCUSZ.EXE'); DeleteFile('C:\Program Files\S27GBTP\VC1GVMPQ7J6B.EXE'); DeleteFile('C:\Program Files\I01GY5\L9ZTH58D94IP.EXE'); DeleteFile('C:\Program Files\QRI5X6T\T2GEHJLP2YFK.EXE'); DeleteFile('C:\Program Files\KFYEET7GUWI\NR4KPNMG1.EXE'); DeleteFile('C:\Program Files\MI5ILN\OR3K8FJDNVY.EXE'); DeleteFile('C:\Program Files\NL4UZ19N\QU39I.EXE'); DeleteFile('C:\Program Files\N6GC0M9PMB\QAFRU5MF.EXE'); DeleteFile('C:\Program Files\OLJ4ZX7ELO8\QUIAI2K6.EXE'); DeleteFile('C:\Program Files\WZRCNHFSJU6\Y8PQMVM3.EXE'); DeleteFile('C:\Program Files\ZLK53B2K4Y\2ULDNHL.EXE'); DeleteFile('C:\Program Files\ZLA0FP5T\2WB5V.EXE'); DeleteFile('C:\Program Files\Z7L27C6D\2KBQH.EXE'); DeleteFile('C:\Program Files\1BHGN\4CX6TBGZI85.EXE'); DeleteFile('C:\Program Files\3SWQRKP4\51V3Y.EXE'); DeleteFile('C:\Program Files\4R6WMWAQ\70592.EXE'); DeleteFile('C:\Program Files\4P3VHCW3RH\9Z287IM.EXE'); DeleteFile('C:\Program Files\6TTC5SE0\94USPY.EXE'); DeleteFile('C:\Program Files\91FDT\D96J9OLI1I0.EXE'); DeleteFile('C:\Program Files\8DZU3MTUF\MD9LDS.EXE'); DeleteFile('C:\Program Files\9G478UAX\P3DUML.EXE'); DeleteFile('C:\Program Files\9WY8ZOCZZLF\5WEGUQREL.EXE'); DeleteFile('C:\Program Files\EAQQKV\NBLWYNO5CMJ.EXE'); DeleteFile('C:\Program Files\3SCK5XL0IS\QQDEQ5Y.EXE'); DeleteFile('C:\Program Files\I7H8G34AX\AT6WSM.EXE'); DeleteFile('C:\Program Files\K7W6T840NCCZ\T8W78L28UJ.EXE'); DeleteFile('C:\Program Files\OCUD8S5\BXLWC.EXE'); DeleteFile('C:\Program Files\4TDCALV8J3C\ASS3F1PN.EXE'); DeleteFile('C:\Program Files\B70VRH4VE6\EZ9NDN0.EXE'); DeleteFile('C:\Program Files\AFOLNZMI\CQNZ5.EXE'); DeleteFile('C:\Program Files\C9LAO15O\FBKO7B.EXE'); DeleteFile('C:\Program Files\VDGA4U9GN6V\YOENL0I7.EXE'); DeleteFile('C:\Program Files\Q1CPU88EMJC\TA3Y0HZ0.EXE'); DeleteFile('c:\windows\prqhocyfhbmtj.dll'); DeleteFile('c:\windows\oivqifctshzowsy.dll'); DeleteFile('c:\windows\hwirynbnuibxrsl.dll'); DeleteFile('c:\windows\ulcritinzbkpywv.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Выполните дополнительно Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Severus Опубликовано 8 сентября, 2009 Опубликовано 8 сентября, 2009 При стольких зловредах с диска бы просканироваться не мешало бы...
Derek Опубликовано 9 сентября, 2009 Автор Опубликовано 9 сентября, 2009 (изменено) При стольких зловредах с диска бы просканироваться не мешало бы... Делал )) Вот: as98kfeomyz.exe_ - Trojan-Dropper.Win32.Small.dvl, hwirynbnuibxrsl.dll - Trojan-Downloader.Win32.BHO.oms, jeuw6t.exe_ - Trojan-Dropper.Win32.Small.dvm, k21sdl5ymu.exe_ - Trojan-Dropper.Win32.Small.dvn, oivqifctshzowsy.dll - Trojan-Downloader.Win32.BHO.omt, prqhocyfhbmtj.dll - Trojan-Downloader.Win32.BHO.omu, ulcritinzbkpywv.dll - Trojan-Downloader.Win32.BHO.omv, yt7tkya6okt.exe_ - Trojan-Dropper.Win32.Small.dvo Детектирование файлов будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. Сообщение от модератора User Убрал имя аналитика забыл написать, непонятные процессы, всё ещё появляются... ( hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip gmer_1.0.15.15077.log Изменено 9 сентября, 2009 пользователем User
Derek Опубликовано 9 сентября, 2009 Автор Опубликовано 9 сентября, 2009 И ещё, эти "процессы" не дают открывать папки, вставлять файлы и открывать программы. При попытке сделать выше указанное, вместо курсора появляются песочные часы и комп зависает, а в ДЗ появляется процесс с непонятным названием. После того, как его завершиш, комп отвисает.
миднайт Опубликовано 9 сентября, 2009 Опубликовано 9 сентября, 2009 (изменено) Закройте/выгрузите все программы кроме AVZ и Internet Explorer. - Отключите ПК от интернета/локалки - Отключите Антивирус и Файрвол. - Отключите Системное восстановление. В AVZ выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\8e0npi6q8.exe'); TerminateProcessByName('C:\WINDOWS\H3O2PW.EXE'); DelBHO('{2F0CE9E6-4C58-B690-E015-7F41FCE7A427}'); QuarantineFile('c:\windows\cfkifiwfntvt.dll',''); DeleteService('RB3YQ2QWWD7'); DeleteService('NQABG'); DeleteService('D2NXBT'); QuarantineFile('C:\WINDOWS\H3O2PW.EXE',''); QuarantineFile('C:\WINDOWS\system32\hcjmgmwc.dll',''); QuarantineFile('C:\Program Files\IOEMXTOY\ARMU39.EXE',''); QuarantineFile('C:\Program Files\8V2Z6D9I5Z\51QJH71.EXE',''); QuarantineFile('C:\Program Files\09VSER79D4N\3BUHUYSI.EXE',''); QuarantineFile('c:\windows\8e0npi6q8.exe',''); DeleteFile('C:\WINDOWS\H3O2PW.EXE'); DeleteFile('c:\windows\8e0npi6q8.exe'); DeleteFile('C:\Program Files\09VSER79D4N\3BUHUYSI.EXE'); DeleteFile('C:\Program Files\8V2Z6D9I5Z\51QJH71.EXE'); DeleteFile('C:\Program Files\IOEMXTOY\ARMU39.EXE'); DeleteFile('c:\windows\cfkifiwfntvt.dll'); DeleteFile('C:\WINDOWS\system32\hcjmgmwc.dll'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportALL; ExecuteSysClean; BC_Activate; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); SetAVZPMStatus(True); RebootWindows(true); end. После перезагрузки begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip отошлите на newvirus@kaspersky.com указав пароль virus в теме письма. Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8enni2yl.exe (gmer) 8enni2yl.exe -del service tfydciqzt 8enni2yl.exe -del file "C:\WINDOWS\system32\hcjmgmwc.dll" 8enni2yl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tfydciqzt" 8enni2yl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bpxuszps" 8enni2yl.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tfydciqzt" 8enni2yl.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bpxuszps" 8enni2yl.exe -reboot И запустите cleanup.bat. Компьютер перезагрузится! Скачайте кидокиллера отсюда, http://support.kaspersky.ru/downloads/utils/kk_v3.4.8.zip пролечитесь. Сделать новый лог AVZ + gmer. Поставьте обновления на систему. Изменено 9 сентября, 2009 пользователем миднайт
Derek Опубликовано 13 сентября, 2009 Автор Опубликовано 13 сентября, 2009 только что отправил quarantine, на выше указанный адрес. Как получу ответ, напишу. з.ы. Сделал, всё, что вы написали. процессы всё ещё появляются gmer_13.09.09.log virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 13 сентября, 2009 Опубликовано 13 сентября, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{C01BBB84-2CF5-BFFD-189F-ED713CF449BA}'); QuarantineFile('c:\windows\uyotqzyacc.dll',''); QuarantineFile('C:\Program Files\5O50L1E226\8X46UUN.EXE',''); QuarantineFile('C:\Program Files\9XLAUPKFJNF\6LPDV02U.EXE',''); QuarantineFile('C:\Program Files\ECNWO563\NR21Z.EXE',''); DeleteService('PPWRZLV2RMG'); DeleteService('M9JO9EHUNW'); DeleteService('IJDDQ'); TerminateProcessByName('c:\windows\jw5vzptdy.exe'); QuarantineFile('c:\windows\jw5vzptdy.exe',''); DeleteFile('c:\windows\jw5vzptdy.exe'); DeleteFile('C:\Program Files\ECNWO563\NR21Z.EXE'); DeleteFile('C:\Program Files\9XLAUPKFJNF\6LPDV02U.EXE'); DeleteFile('C:\Program Files\5O50L1E226\8X46UUN.EXE'); DeleteFile('c:\windows\uyotqzyacc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сдлелайте новые логи (gmer не нужно)
Derek Опубликовано 15 сентября, 2009 Автор Опубликовано 15 сентября, 2009 (изменено) Ответа с сайта ещё не получал. Ещё одна беда: после того как выходишь из игры (War3 ) в Д.З. процесс остаётся, хотя игра закрылась. Приходиться убирать их вручную. virusinfo_syscure.htm virusinfo_syscheck.htm Изменено 15 сентября, 2009 пользователем Derek
thyrex Опубликовано 15 сентября, 2009 Опубликовано 15 сентября, 2009 quarantine.zip из своих постов удалите. В логах нет ничего подозрительного. Выполнить скрипт begin SetAVZPMStatus(False); ExecuteStdScr(6); RebootWindows(true); end. Компьютер перезагрузится.
Derek Опубликовано 15 сентября, 2009 Автор Опубликовано 15 сентября, 2009 Да, действительно, процессы больше не появляются. Но я нашёл файл с именем 9HK73XE72K, при попытке его удалить, появляется окно - ошибка explorer.ru После чего, закрываются все окна, появляется раб. стол без иконок. Через 5 сек всё приходит в норму. Не подскажите, что это может быть? и как от этого избавиться?
thyrex Опубликовано 15 сентября, 2009 Опубликовано 15 сентября, 2009 Попробуйте удалить файл в безопасном режиме
Derek Опубликовано 15 сентября, 2009 Автор Опубликовано 15 сентября, 2009 В безопасном режиме - удалилось. Прилагаю фото, как "они" выглядели. Вопрос про процессы, которые остаются в д.з. после закрытия программы, ещё актуален. И ещё просьба - посмотрите пожалусто фото моих процессов, которые появляются при загрузке компьютера. Всё ли впорядке?
Roman Merkushin Опубликовано 15 сентября, 2009 Опубликовано 15 сентября, 2009 Все в порядке. wdfmgr.exe можешь убрать. Это не вирус, но вещь бесполезная. Пуск - выполнить - services.msc - служба "включение драйверов пользовательского режима Windows" (Windows User Mode Driver Manager) - остановить, а тип запуска поставить "вручную"
Рекомендуемые сообщения