-
Junior Member
- Вес репутации
- 53
windll.exe и win32 malware-gen
Добрый вечер!
WinXP SP3, антивирус avast! Сижу под админом.
Каждый раз после подключения к интенету avast! находил зараженные win32 malware-gen файлы в папке C:\Documents and Settings\Admin\Local Settings\Temp. файлы вида ХХХ.exe, где ХХХ - любые цифры. avast! их удалял.
При проверке с помощью AVZ был выявлен нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-8039137574-7737941853-608425898-3854\windll.exe". windll.exe не удаляется.
Также в папке system 32 появился файл msvmcl64.exe. Он удаляется, но каждый раз появляется вновь. Как и запись в автозагрузке MS virtual CLS.
Проверка с помощью AVPTool эту проблему не разрешила.
Проявления:появился "несанкционированный" исходящий трафик и диспетчер задач не показывает, какие процессы какому пользователю принадлежат.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-8039137574-7737941853-608425898-3854\windll.exe','');
QuarantineFile('c:\windows\system32\msvmcls64.exe','');
DeleteFile('c:\windows\system32\msvmcls64.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8039137574-7737941853-608425898-3854\windll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Логи новые сделал.Проше прощения, но я случайно удалил архив с карантином(
После выполнения скрипта возникла ошибка svchost.exe память не может быть "read".
Также после загрузки системы в диспетчере задач появились неизвестные мне ранее процессы:
wmiprvse.exe
helpsvc.exe
-
Junior Member
- Вес репутации
- 53
Не заметил строчки DeleteFile('c:\windows\system32\msvmcls64.exe');
и решил заново выполнить скрипт, когда msvmcls64.exe даст о себе знать , и удалил карантин.
-
Выполните скрипт в avz
Код:
begin
QuarantineFile('C:\Program Files\uusee\UUSeePlayer.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
ошибка svchost.exe при выключении ПК больше не возникает, никаких подозрительных файлов больше я не замечал. Единственное, что еще вызывает беспокойство AVZ, это TASKMAN.EXE, который сидит в процессах.
посоветуйте, пожалуйста, что теперь с ним делать
-
>> Подмена диспетчера задач
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Большое Вам спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-