|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Info - Подскажите пожалуйста |
|
||||
|
|
Info - Подскажите пожалуйста
|
|
Новый участник Сообщения: 10 |
С недавнего времени заметил что в автозагрузке CCleaner прописалось 2 одинаковых процесса(до этого вообще ни одного небыло)
 пытался их отключать,удалять,но после перезагрузки они опять появляються( Полез я в диспетчер задач и нашел там такую бяку   этот процесс и процессы запущенные в автозагрузке CCleaner,находяться в одной папке C:\Users\Max\AppData\Roaming\MicrosoftVisions,но что самое интересное что эта папка пустая,хотя в свойствах виден 1 файл  P.S. папку удалить я немогу Теперь вопрос) Что бы это могло быть,нужный ли это процесс или какая гадость???) В компьютере я разбираюсь слабо поэтому хотелось бы услышать мнения и совета) Заранее большое спасибо ))) |
|
|
Отправлено: 16:48, 21-03-2011 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 21:22, 21-03-2011 | #2 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать проверил CureIt и Kaspersky Virus Removal Tool они ничего ненашли
вот логи |
|
Отправлено: 13:22, 22-03-2011 | #3 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать • Отключите:
Компьютер от интернета/локальной сети Антивирус/Файерволл AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\users\max\appdata\roaming\microsoftvisions\svchost.exe');
QuarantineFile('C:\Windows\Qzuvia.exe','');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\Qhc.exe','');
QuarantineFile('XDva363.sys','');
QuarantineFile('c:\users\max\appdata\roaming\microsoftvisions\svchost.exe','');
DeleteFile('c:\users\max\appdata\roaming\microsoftvisions\svchost.exe');
DeleteFile('C:\Users\Max\AppData\Local\Temp\Qhc.exe');
DeleteFile('C:\Windows\Qzuvia.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftVisioniss');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftVisioniss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофиксите в hijackthis Установите галочки напротив указанных строк и нажмите Fix Checked Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
|
Отправлено: 15:17, 22-03-2011 | #4 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать После запуска первого скрипта,система вылетела в синий экран,в левом нижнем углу цифорки до 100 дошли и комп перезагрузился,при загрузке спросил меня в каком режиме загружаться,а после загрузки вылезло окошко,что система удачно восстановлена после сбоя...
дальше сделал как Вы написали,вот логи |
|
|
Отправлено: 16:43, 22-03-2011 | #5 |
|
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Удалите в MBAM:
Код:
Заражённые процессы в памяти:
c:\Users\Max\AppData\Roaming\microsoftvisions\svchost.exe (Trojan.Agent) -> 320 -> No action taken.
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VXEG3ZNNE5 (Trojan.FakeAlert) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftVisioniss (Trojan.Agent) -> Value: MicrosoftVisioniss -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftVisioniss (Trojan.Agent) -> Value: MicrosoftVisioniss -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Trojan.Agent) -> Bad: (C:\Users\Max\AppData\Roaming\MicrosoftVisions\svchost.exe) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe, C:\Users\Max\AppData\Roaming\MicrosoftVisions\svchost.exe) Good: (Explorer.exe) -> No action taken.
Заражённые файлы:
c:\Users\Max\AppData\Roaming\microsoftvisions\svchost.exe (Trojan.Agent) -> No action taken.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\Windows\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.
|
|
------- Отправлено: 16:54, 22-03-2011 | #6 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать после попытки удаления c:\Users\Max\AppData\Roaming\microsoftvisions\svchost.exe (Trojan.Agent) -> 320 -> No action taken.
система опять вылетела в blue screen вот скриншот после перезагрузки  а вот файлы которые сделала система |
|
Отправлено: 17:23, 22-03-2011 | #7 |
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать amadis25, добрый день, пробуем удалить зловреда так
Скачайте Icesword или с зеркала Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл c:\Users\Max\AppData\Roaming\microsoftvisions\svchost.ex Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте "да". Перезагрузите компьютер. подробнее об удалении в Icesword |
|
------- Отправлено: 17:30, 22-03-2011 | #8 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать maniy77 спасибо за совет)но комп хоть ребутнулся,но файл как оказалось удалил)Ни в ccleaner,ни в диспетчере его больше не вижу,вот свежии логи
MBAM делал сейчас быструю проверку(врема уже нема надо убегать),если нужна полная проверка,то завтра сделаю) Большое спасибо за помощь))) |
|
Отправлено: 17:58, 22-03-2011 | #9 |
|
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать Цитата amadis25:
Цитата amadis25:
Отключите: Компьютер от интернета/локальной сети Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\drivers\uxvcxs.sys','');
DeleteFile('C:\Windows\System32\drivers\uxvcxs.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteFile('C:\Windows\System32\drivers\uxvcxs.sys');
BC_DeleteSvc('uxvcxs');
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.
После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. повторите логи АVZ + Цитата zirreX:
|
|||
|
------- Последний раз редактировалось SolarSpark, 22-03-2011 в 18:37. Отправлено: 18:04, 22-03-2011 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| подскажите пожалуйста | мясник | Тест-форум | 1 | 11-03-2011 15:48 | |
| Загрузка - подскажите пожалуйста | мясник | Тест-форум | 2 | 10-03-2011 23:40 | |
| Подскажите пожалуйста... | BABA ZINA | Материнские платы и память | 4 | 01-01-2011 20:23 | |
| Подскажите пожалуйста!!! | SergeyGUG | Хочу все знать | 7 | 02-04-2010 17:10 | |
|
|
Время: 14:13. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
