Вирус winexp.exe. Что делать???

Leks · 31.05.2010, 21:12

На компе завелся вирус. Обратил внимание когда начал пощелкивать(пощелкивание как при открытии ссылок в IE) комп и сам запускать IE. Через ESET sysInspektor обнаружил опасній процесс winexp.exe. Попробовал завершить его, пощелкивание перестало. Через некоторое время все повторилось. Вот файлы
virusinfo_syscure.zip - http://exfile.ru/104874
hijackthis.log - http://exfile.ru/104876

01pump · 31.05.2010, 21:26

Leks,

запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\winexp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winexp');
ExecuteSysClean;
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!

После перезагрузки обновите базы avz:Файл-Обновление баз и выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

Leks · 31.05.2010, 21:36

вот этот архив
http://exfile.ru/104884

01pump · 31.05.2010, 21:56

Leks,

Этот файл C:\Documents and Settings\Admin\install.exe проверьте на www.virustotal.com и пришлите результат

Leks · 31.05.2010, 22:25

проверка уже идет минут 20-25. И ничего не меняется. вначале появились какие то надписи(типо список антивирусов), и больше ничего не происходилоТак и должно быть?

01pump · 31.05.2010, 22:36

Leks,

В таком виде у вас отображается?

Цитата:

Результат: 0/41 (0%)

Leks · 31.05.2010, 22:39

нет, просто "Текущий статус: проверка" и идет загрузка.
вот то что написано ниже:

Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации. Антивирус Версия Обновление Результат
AhnLab-V3 2010.05.30.00 2010.05.29 -
AVG 9.0.0.787 2010.05.31 -
ClamAV 0.96.0.3-git 2010.05.31 -
DrWeb 5.0.2.03300 2010.05.31 -
Fortinet 4.1.133.0 2010.05.30 -
GData 21 2010.05.31 -
McAfee-GW-Edition 2010.1 2010.05.31 -
Microsoft 1.5802 2010.05.31 -
Norman 6.04.12 2010.05.31 -
nProtect 2010-05-31.01 2010.05.31 -
Sunbelt 6382 2010.05.31 -
TheHacker 6.5.2.0.290 2010.05.31 -
Дополнительная информация
File size: 219797 bytes
MD5...: 6f60f2918e0b42238d181a637f926369
SHA1..: f7fd4a570603a902de4fa5bd8ac72ef358dd3de6
SHA256: 79091d3b1187cb7d7698e20b8652112d3fcd308d7e16e12906 92d3dacb1e5c76
ssdeep: 6144:iuWx6aMMMMduCb2PdrwWksySFKvLCe8vbCZpqwwQ:iUaM MMMkS2zlFKvLYv
uZpqZQ
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.0%)
DOS Executable Generic (49.0%)
Corel Photo Paint (1.0%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

01pump · 31.05.2010, 22:45

Leks,

Нужен Результат а не процесс проверки!!!!

Leks · 31.05.2010, 22:50

Текущий статус: закончено
Результат: 0/41 (0.00%)
не знаю это нужно или нет, но на всякий случай вставляю

Код:

Антивирус	Версия	Обновление	Результат
a-squared	5.0.0.26	2010.05.31	-
AhnLab-V3	2010.05.30.00	2010.05.29	-
AntiVir	8.2.1.242	2010.05.31	-
Antiy-AVL	2.0.3.7	2010.05.31	-
Authentium	5.2.0.5	2010.05.31	-
Avast	4.8.1351.0	2010.05.31	-
Avast5	5.0.332.0	2010.05.31	-
AVG	9.0.0.787	2010.05.31	-
BitDefender	7.2	2010.05.31	-
CAT-QuickHeal	10.00	2010.05.31	-
ClamAV	0.96.0.3-git	2010.05.31	-
Comodo	4965	2010.05.31	-
DrWeb	5.0.2.03300	2010.05.31	-
eSafe	7.0.17.0	2010.05.30	-
eTrust-Vet	35.2.7522	2010.05.31	-
F-Prot	4.6.0.103	2010.05.31	-
F-Secure	9.0.15370.0	2010.05.31	-
Fortinet	4.1.133.0	2010.05.30	-
GData	21	2010.05.31	-
Ikarus	T3.1.1.84.0	2010.05.31	-
Jiangmin	13.0.900	2010.05.31	-
Kaspersky	7.0.0.125	2010.05.31	-
McAfee	5.400.0.1158	2010.05.31	-
McAfee-GW-Edition	2010.1	2010.05.31	-
Microsoft	1.5802	2010.05.31	-
NOD32	5159	2010.05.31	-
Norman	6.04.12	2010.05.31	-
nProtect	2010-05-31.01	2010.05.31	-
Panda	10.0.2.7	2010.05.31	-
PCTools	7.0.3.5	2010.05.31	-
Prevx	3.0	2010.05.31	-
Rising	22.50.00.04	2010.05.31	-
Sophos	4.53.0	2010.05.31	-
Sunbelt	6382	2010.05.31	-
Symantec	20101.1.0.89	2010.05.31	-
TheHacker	6.5.2.0.290	2010.05.31	-
TrendMicro	9.120.0.1004	2010.05.31	-
TrendMicro-HouseCall	9.120.0.1004	2010.05.31	-
VBA32	3.12.12.5	2010.05.31	-
ViRobot	2010.5.31.2331	2010.05.31	-
VirusBuster	5.0.27.0	2010.05.31	-
Дополнительная информация
File size: 219797 bytes
MD5   : 6f60f2918e0b42238d181a637f926369
SHA1  : f7fd4a570603a902de4fa5bd8ac72ef358dd3de6
SHA256: 79091d3b1187cb7d7698e20b8652112d3fcd308d7e16e1290692d3dacb1e5c76
TrID  : File type identification
Generic Win/DOS Executable (49.0%)
DOS Executable Generic (49.0%)
Corel Photo Paint (1.0%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 6144:iuWx6aMMMMduCb2PdrwWksySFKvLCe8vbCZpqwwQ:iUaMMMMkS2zlFKvLYvuZpqZQ
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set
-

01pump · 31.05.2010, 22:55

Leks,

В настоящий момент что с проблемой?

Leks · 01.06.2010, 00:01

в настоящий момент перестало издавать звуки и перестал открываться эксплорер. Файла winexp.exe вроде нет, но есть просто пустой файл winexp(без какого то формата и расширения, просто winexp). Нужно ли его удалять?

01pump · 01.06.2010, 11:08

Leks,

А где он нходится? Полный путь укажите

Leks · 01.06.2010, 20:26

01pump,
C:\WINDOWS\winexp

winshelp · 01.06.2010, 20:31

Leks, сделайте еще раз свежие логи.
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis.

Leks · 01.06.2010, 20:41

winshelp, вот virusinfo_syscheck.zip, а вот hijackthis.log

31.05.2010, 21:12	#1 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	Вирус winexp.exe. Что делать??? На компе завелся вирус. Обратил внимание когда начал пощелкивать(пощелкивание как при открытии ссылок в IE) комп и сам запускать IE. Через ESET sysInspektor обнаружил опасній процесс winexp.exe. Попробовал завершить его, пощелкивание перестало. Через некоторое время все повторилось. Вот файлы virusinfo_syscure.zip - http://exfile.ru/104874 hijackthis.log - http://exfile.ru/104876 Последний раз редактировалось 01pump; 31.05.2010 в 21:22.

31.05.2010, 21:26	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Leks, запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\winexp.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winexp'); ExecuteSysClean; RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки обновите базы avz:Файл-Обновление баз и выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
на компьютере появились IeCheck.exe и winexp.exe Помогите избавиться.	Guest123	Безопасность	15	08.12.2010 13:51
Подхватила вирус(Не знаю что делать?	Хайри	Безопасность	2	06.12.2010 11:23
Вирус повредил фаил msimg32.dll. Ничего не запускается! Что делать?	hener	Windows XP	12	22.10.2010 19:32
Что делать на флешке был вирус?	Grandstalker	Безопасность	6	20.06.2010 16:54
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40
Вирус - winexp.exe	inlife	Безопасность	9	01.06.2010 21:34
И снова winexp.exe	sworms	Безопасность	6	30.05.2010 01:25
Вирус pornohab.com, что делать?	SilentPeace	Безопасность	2	19.05.2010 23:14
Вирус systemxp.exe, winexp.exe	Anisa	Безопасность	13	30.04.2010 11:02
Вирус просит отправить смс. Что делать?	SKL-12	Безопасность	9	10.03.2010 13:35
Что делать?	СашаИ	Железо	4	04.01.2009 20:38
ЧТО ДЕЛАТЬ?	МАКЕЕВ	Программы	0	06.09.2008 12:49

31.05.2010, 21:36	#3 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	вот этот архив http://exfile.ru/104884

31.05.2010, 21:56	#4 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Leks, Этот файл C:\Documents and Settings\Admin\install.exe проверьте на www.virustotal.com и пришлите результат

31.05.2010, 22:25	#5 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	проверка уже идет минут 20-25. И ничего не меняется. вначале появились какие то надписи(типо список антивирусов), и больше ничего не происходилоТак и должно быть?

31.05.2010, 22:39	#7 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	нет, просто "Текущий статус: проверка" и идет загрузка. вот то что написано ниже: Ваш файл проверяется VirusTotal в данный момент, результаты отображаются по мере генерации. Антивирус Версия Обновление Результат AhnLab-V3 2010.05.30.00 2010.05.29 - AVG 9.0.0.787 2010.05.31 - ClamAV 0.96.0.3-git 2010.05.31 - DrWeb 5.0.2.03300 2010.05.31 - Fortinet 4.1.133.0 2010.05.30 - GData 21 2010.05.31 - McAfee-GW-Edition 2010.1 2010.05.31 - Microsoft 1.5802 2010.05.31 - Norman 6.04.12 2010.05.31 - nProtect 2010-05-31.01 2010.05.31 - Sunbelt 6382 2010.05.31 - TheHacker 6.5.2.0.290 2010.05.31 - Дополнительная информация File size: 219797 bytes MD5...: 6f60f2918e0b42238d181a637f926369 SHA1..: f7fd4a570603a902de4fa5bd8ac72ef358dd3de6 SHA256: 79091d3b1187cb7d7698e20b8652112d3fcd308d7e16e12906 92d3dacb1e5c76 ssdeep: 6144:iuWx6aMMMMduCb2PdrwWksySFKvLCe8vbCZpqwwQ:iUaM MMMkS2zlFKvLYv uZpqZQ PEiD..: - PEInfo: - RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.0%) DOS Executable Generic (49.0%) Corel Photo Paint (1.0%) VXD Driver (0.7%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

31.05.2010, 22:45	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Leks, Нужен Результат а не процесс проверки!!!!

31.05.2010, 22:55	#10 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Leks, В настоящий момент что с проблемой?

01.06.2010, 00:01	#11 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	в настоящий момент перестало издавать звуки и перестал открываться эксплорер. Файла winexp.exe вроде нет, но есть просто пустой файл winexp(без какого то формата и расширения, просто winexp). Нужно ли его удалять?

01.06.2010, 11:08	#12 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Leks, А где он нходится? Полный путь укажите

01.06.2010, 20:26	#13 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	01pump, C:\WINDOWS\winexp

01.06.2010, 20:31	#14 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Leks, сделайте еще раз свежие логи. Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis.

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

01.06.2010, 20:41	#15 (ссылка)
Leks Новичок Регистрация: 31.05.2010 Сообщений: 13 Репутация: 0	winshelp, вот virusinfo_syscheck.zip, а вот hijackthis.log