-
Junior Member
- Вес репутации
- 57
загрузка процессора 100%, подозрительные процессы в диспетчере задач
Неустойчиво работает Internet Explorer, компьютер "тормозит" при выполнении обычных задач, в диспетчере задач подозрительные процессы: wjdrive32.exe, umdmgr.exe, del.exe. После принудительного завершения этих процессов загрузка процессора возвращается к нормальным показателям, и становится возможной работа в IE, но через некоторое время они (процессы) появляются снова... и всё с начала.
Сканирование AVZ выполнил не совсем по Вашим правилам: скрипт лечения/карантина и сбора информации для раздела "Помогите!" запускался в безопасном режиме и с подключенным интернетом.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Пожалуйста, как запрашивали. Карантин отправлен по "красной ссылке".
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Отключите восстановление системы!
Выполняйте лечение, отключив интернет и антивирус.
Удалите в MBAM:
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Config Setup (Trojan.Downloader) -> Value: Microsoft Config Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Trojan.Downloader) -> Value: Microsoft Config Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wors (Worm.Palevo) -> Value: wors -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Spyware.OnlineGames) -> Value: 12CFG214-K641-12SF-N85P -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Firewall Security Service (Trojan.Downloader) -> Value: Firewall Security Service -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Downloader) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe) Good: () -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\WINDOWS\wjdrive32.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\umdmgr.exe (Worm.Palevo) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Spyware.OnlineGames) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe (Trojan.Downloader) -> No action taken.
c:\asetup.exe (Trojan.Downloader) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00001.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00002.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00003.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00004.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00005.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00006.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00007.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00008.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00009.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00010.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00011.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00012.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00013.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00014.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00015.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00016.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00017.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00018.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00019.dta (Worm.Palevo) -> No action taken.
c:\Distrib\Gleb\avz4\Infected\2011-03-15\avz00020.dta (Worm.Palevo) -> No action taken.
c:\documents and settings\Глеб\bnt.exe (Spyware.OnlineGames) -> No action taken.
c:\documents and settings\Глеб\del.exe (Spyware.OnlineGames) -> No action taken.
c:\documents and settings\Глеб\wors.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Глеб\msc.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Глеб\doctorweb\quarantine\winfixer.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Глеб\local settings\temporary internet files\Content.IE5\0DPJUQB5\myms[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Глеб\local settings\temporary internet files\Content.IE5\5GH6C3J2\msdel[1].exe (Spyware.OnlineGames) -> No action taken.
c:\documents and settings\Глеб\local settings\temporary internet files\Content.IE5\5N2DCAA2\ms0593[1].exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Глеб\local settings\temporary internet files\Content.IE5\M8OXTFBI\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Глеб\local settings\temporary internet files\Content.IE5\SZTV3WWQ\bnet[1].exe (Spyware.OnlineGames) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
DeleteFile('C:\Documents and Settings\Глеб\wors.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Простите, Bratez, я не понял, что мне делать с кодом "Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOF..."?
Это скрипт для AVZ, MBAM или что?
-
Это не скрипт, а список того, что надо удалить в MBAM.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Всё, дошло, сейчас сделаю!
-
Junior Member
- Вес репутации
- 57
Логи AVZ и HJ высылаю. проверку МБАМ (после удаления) и ее лог надо было?
-
Сообщение от
DrPilulkin
проверку МБАМ (после удаления) и ее лог надо было?
Надо
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
По поведению компьютера видимо всех "животных" мы с вашей помощью победили! Хотя вам по логам, конечно, виднее... Но всё равно, спасибо! Лог МБАМ прилагаю, как просили.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Спасибо! Очень помогли! Что порекомендуете (кроме установки антивируса )
-
Сообщение от
DrPilulkin
Что порекомендуете (кроме установки антивируса
Не забывайте про регулярные обновления Windows.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Backdoor.Win32.IRCBot.spt ( DrWEB: BackDoor.Siggen.41841, BitDefender: Trojan.Generic.KD.156176, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Backdoor.Win32.IRCBot.spx ( DrWEB: BackDoor.Siggen.41841, BitDefender: Backdoor.Bot.146686, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\wjdrive32.exe - Backdoor.Win32.Floder.s ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.156745, AVAST4: Win32:Downloader-NUE [Trj] )
-