[решено] java_update_<random>.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] java_update_<random>.exe (http://forum.oszone.net/showthread.php?t=259969)

java_update_<random>.exe

Привет, коллеги!

UAC реагирует на запуск исполняемого файла java_update_<random>.exe без цифровой подписи из папки %temp%, где random - произвольный набор букв. При нажатии "Нет" запрос тут же появляется снова (недавно были похожие темы).

ПК не мой, логи собирались не совсем по правилам (антивирус не отключался), но хоть что-то. Буду признателен за помощь :)

Выполните скрипт в AVZ

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;

TerminateProcessByName('c:\progra~3\mozilla\htyezvb.exe');

 QuarantineFile('c:\progra~3\mozilla\htyezvb.exe','');

 DeleteFile('c:\progra~3\mozilla\htyezvb.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

Отправьте c:\quarantine.zip при помощи этой формы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

thyrex, спасибо за моментальный отклик. Уже после создания темы на зараженном ПК был "запущен Касперский", который нейтрализовал появление запросов UAC от сабжа.

Однако инструкции были выполнены. Логи в аттаче.

Еще раз запустите полное сканирование МВАМ. После окончания отметить и удалить все строки, кроме

Код:

C:\Users\Phantom\Desktop\L\OLD\Desktop\Октябрь\Guitar.Pro.v5.2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

C:\Users\Phantom\Desktop\team\ОКТЯБРЬ\- 2008 MP3 256kbps _setup.exe (Adware.ForcedStartPage) -> Действие не было предпринято.

C:\Users\Phantom\Desktop\team\ТУТ все что лежало на столе\K-Lite Codec Pack Update_setup.exe (PUP.BundleInstaller.DU) -> Действие не было предпринято.

+ уточните у хозяев компьютера по поводу C:\Program Files (x86)\VPets\VPets.exe - зверюшки на Рабочем столе бегают - сами ли они их установили

thyrex, файл VPets не нашелся, в т.ч. поиском AVZ.

А так все гуд, спасибо за заботу!

P.S. Я удаляю логи по просьбе владельца.

Цитата:

Цитата Vadikan

thyrex, файл VPets не нашелся, в т.ч. поиском AVZ. »

Значит это остались следы в реестре .

Да, была запись в автозагрузке, я ее отключил.