Решена x30811.exe

Статус
В этой теме нельзя размещать новые ответы.

vglp

Активный пользователь
Сообщения
18
Симпатии
0
Баллы
231
#1
появляются непонятные процессы: x30811.exe, 2A.exe, 14.exe и подобные (с цифрами)
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,807
Симпатии
12,731
Баллы
2,203
#2
Смотрю логи

Добавлено через 5 минут 46 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
 QuarantineFile('C:\Program Files\Apoint2K\Apoint.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe','');
 QuarantineFile('C:\WINDOWS\hex(2):53','');
 QuarantineFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe','');
 DeleteFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe');
  BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(16);
  RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,393
Симпатии
8,733
Баллы
743
#4
Повторите сканирование в MBAM и удалите все кроме:

Код:
c:\WINDOWS\kmsem\kmservice.exe (Trojan.FakeAlert) -> No action taken
.
 

vglp

Активный пользователь
Сообщения
18
Симпатии
0
Баллы
231
#5
Повторите сканирование в MBAM и удалите все кроме:

Код:
c:\WINDOWS\kmsem\kmservice.exe (Trojan.FakeAlert) -> No action taken
.
сделано!

посоветуйте, пожалуйста, какой-нибудь оптимальный вариант антивируса (программы) для защиты и чтоб сильно не грузил систему, т.к. железо старенькое..

спс:)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,393
Симпатии
8,733
Баллы
743
#6
Сделайте повторный комплект логов AVZ и RSIT - обычно эта зараза не сразу удаляется.

Любой антивирус не даст 100% защиты если не выполнять паралельно другие правила (ограниченная учетная запись, обновляемое ПО итд).

Могу посоветовать бесплатные антивирусы и Internet Security
- Avira
- Avast
- CIS
- FortiClient Lite
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,393
Симпатии
8,733
Баллы
743
#8
Смогу поглядеть только ночью, если никто не ответит - ждите
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,637
Симпатии
4,974
Баллы
663
#9
Скачайте и установите все последние обновления для безопасности windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

Обновите используемое програмное обеспечение до последних актуальных версий.

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\1B5.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\5B6.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\598.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\A.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\18.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\D.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\B.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\EC.exe','');
 DeleteFile('C:\WINDOWS\system32\1B5.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\5B6.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\598.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\A.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\18.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\D.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\B.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\E.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\EC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
Последнее редактирование:

vglp

Активный пользователь
Сообщения
18
Симпатии
0
Баллы
231
#10
Выполнено!
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,637
Симпатии
4,974
Баллы
663
#11
В логе чисто. Проблема осталась?

Выполните скрипт в АВЗ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Повторите сканирование AVZ и Rsit.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,637
Симпатии
4,974
Баллы
663
#13
Хорошо, в логах тоже чисто.

Деинсталируйте МВАМ
Пуск-панель управления-установка удаление программ, найдите МВАМ-нажмите удалить.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcombofix-uninstall.jpg&hash=81a24c0e6f43436414e4ec21134aee34


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Вам необходимо:
1.создать новую контрольную точку восстановления и очистить предыдущие.
2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить:
скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd
Запустите сохраненный файл, на запрос ответить - да.

Заражение вашего компьютера происходило через уязвимости системы, поэтому выполняйте пожалуйста рекомендации:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
- регулярно обновлять антивирус и антивирусные базы

Всего хорошего.
 
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Сверху Снизу