63 ответов в этой теме

[alexach]

Доброго времени суток!
Ребята, а меня та же самая проблема, только на ХР.
Прошу не судить строго, ибо я среднестатистическая юзерша. ))
Проблема следующая.
Прогоняю утилитой и каждый раз при проверке процессов в начале ловится маячок, влазиет он каждый раз как бы под разные пути, то на звуковую карту, под разными номерами, то на прогу от бесперебойника идентифицируется, то как процесс от вин 32, создаётся впечатление что он просто маскируется под нормальные процессы... ловится постоянно, но после перезапуска опять всё по-новой...
К этому ещё плюс - постоянно появляются в разных местах экзешники от тоян-хоста 4561, экзешник на маячки был найден только что...
Сейчас вроде их уже вырезала все экзешники через свежую утилиту, но маячки не уходят.

Есть подозрительные файлы в папке CatRoot2 (по пути Виндовз, систем 32)- схожие со временем подхвата этого вируса, - что за папка, я , к сожалению - не сильно в программах - не знаю....задаю он-лайн проверку на вашем сайте - выдаёт ошибку - что файл не выбран, как будто проверка вообще не видит файлов.
Что тут можно предпринять?

[alexach]

Процесс в памяти: C:\Program Files\Analog Devices\SoundMAX\Smax4.exe:356 Trojan.Mayachok.1 Обезврежен.
-----
Вот инфа из отчёта. Процессы каждый раз разные. Как поймать прогу, которая его запускает?... насколько я поняла из темы, то он должен быть уже в базах.

[userr]

alexach,
делайте логи по Правилам http://forum.drweb.com/index.php?showtopic=277652

[alexach]

Проверяла утилитой каждый раз свежей сегодня раз 10.
Шло дело очень тяжело, 2 раза комп на запуск утилиты реагировал тут же перезапуском системы.
3 раза утилита зависала на половине проверки, на закрытие и мышку не реагировала, к винту не было обращения по 30 минут, делала ресет сама, и 2 раза проверив всё и найдя вирусы, при закрытии утилита, уходила сама, но режим усиленной защиты оставался на экране, опять делала ресет.
После загрузки комп не видел свою звуковуху, слетело оформление, исчезла боковая панель, процессы загружались долго, один раз отказался реагировать на запуски любых программ с ярлыков. Среди удалённых сразу файлов был Isass.exe Троян Хост, обычно в колличестве 2 штуки по пути - С/Documents and Settings/Админ/Application Data лежал без папки экзешник в виде иконки, и последним после скачивания вечером свежей утилиты был пойман он же опять и в последний раз в Систем волюм инфе, рестор, и экзешник от маячка там же.
Вирусы - появлялись каждый раз те же самые. Прогоняла комп пока не добилась, что остался только маячок (в пером прогоне их было два: Trojan.Mayachok.1 иTrojan.Mayachok.2).
После перезагрузок и очередных проверок утилитой маячок не уходил.

Проверила утилитой ещё раз чтобы сделать results.cab, на этот раз маячок прописался как процесс от бесперебойника в программ файлз.
Прикрепляю результат проверки.

Прикрепленные файлы:

•  cureit-results.cab   148,8К   6 Скачано раз

[Ko6Ra]

Этого недостаточно. Оставшиеся логи сделайте, пожалуйста. Как минимум hijackthis.

[alexach]

Ок, сделаю если получится, система в плохом состоянии, сегодня маячок оказался в
Процесс в памяти: С:\Program Files\Mozilla Firefox\firefox.exe:220 Trojan.Mayachok.1 Обезврежен.
Всё жутко тормозит, даже клавиатура печатает с задержками и на некоторые сайты, в том числе Доктороа Веба, Мозила меня не пускала, выдавало, что страница не найдена, получилось зайти с 3го раза.
Постоянно прогоняю утилитой и чищу реестры от Шампуня, тогда помогает.

[mrbelyash]

проще было бы к вам залезть.

[alexach]

Проблема с браузером после обнаружения в нём маячка очевидна, как будто не хватает плагинов.
Часть сайтов раскрывается криво (Вики, мыло, ВК и т д), часть сайтов, даже безобидных, как Радикал, отказывается работать.
Утилита слетает не проверив всё до конца.
Комп рестартует когда ему "не нравится" то, что я пытаюсь открыть утилиту.
Логи HijackThis и RKU прилагаю.

Прикрепленные файлы:

•  Report.rar   9,99К   2 Скачано раз

[mrbelyash]

Мозила и Хром отказались работать, зашла из старой оперы.
Маячок ловится сейчас в
Процесс в памяти: С:\WINDOWS\Explorer.exe:240 Trojan.Mayachok.1 Обезврежен.
(НЕ могу добавить файл в архиве к посту, какой есть ещё способ приложить текстовый отчёт? браузеры не видят файла - , выбираю, добавляю - пишет одно и то же Error No file was selected for upload)

А какое расширение у файла?
Там ведь есть два загрузчика.

[alexach]

и зип и рар пробовала - выдаёт ошибки

[alexach]

HijackThis

Прикрепленные файлы:

•  hijackthis.rar   4,49К   6 Скачано раз

[mrbelyash]

и зип и рар пробовала - выдаёт ошибки

попробуйте через второй загрузчик

[Aleksandra]

C:\Documents and Settings\Александра\Application Data\lsass.exe
C:\WINDOWS\system32\yrpnxil.dll

Шлите сюда https://vms.drweb.com/sendvirus/

Пофиксите в HijackThis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Александра\Application Data\lsass.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\yrpnxil.dll

[Aleksandra]

+

O4 - HKCU\..\Run: [sysmng] C:\Documents and Settings\Александра\ Application Data\WindowsApps\flash_player_32.exe

в вирлаб и фиксить...

[alexach]

C:\Documents and Settings\Александра\Application Data\lsass.exe ---

Я его нигде не вижу - его Доктор удалил вчера при скане без разговоров, точнее удалял много раз.. сейчас я этого файла не вижу в папке.
остальное сейчас ищу.

[alexach]

C:\WINDOWS\system32\yrpnxil.dll --- этот есть нашла, файл отправила, .....другие просто не видны из под тотал командера, хотя в отчёте у HijackThis их тоже нашла

[Aleksandra]

Номер тикета + повторный лог HijackThis после фикса.

[alexach]

Папка якобы с флеш плеером пустая - C:\Documents and Settings\Александра\ Application Data\WindowsApps\ -и дальше пусто...
Isass.exe в Application Data мне тоже нигде не виден

Что такое фикс? - фиксация вируса?
Пока просто пришёл отчёт -

"Вашему запросу назначен идентификатор [drweb.com #2710028]."

[mrbelyash]

в хайджеке есть кнопка Fix Checked
Ставите галку на указанной строчке и нажимаете эту кнопку

[alexach]

При запуске Hijack система сообщила что в программе HijackThis вирус-червяк и заблокировала её, попробовала удалить её и заново скачать с сайта - выход на сайт блокирован http://ru.trendmicro.com/ru/products/personal/free-tools-and-services/ ((