-
Junior Member
- Вес репутации
- 52
Троян Win32
Здравствуйте, моя проблема такова: постоянно создаются лже exe-шники типа 405.exe, доступ в интернет либо отсутствует, либо есть но с очень малой скоростью.Хотя я работаю через Opera вирус пытается скачать что-либо через IE - появляются окна-ошибки о невозможности продолжения сценария по различным адресам при том что IE даже не запущен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\appmgmts.dll', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\asr_fmt.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\asr_ldm.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\asr_pfu.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\System32\fdeploy.dll', 'CHQ=N');
QuarantineFile('c:\windows\system32\umdmgr.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\user32.dat', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\glausb.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usb8023x.sys', 'CHQ=S');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\appmgmts.dll');
BC_QrFile('C:\WINDOWS\system32\asr_fmt.exe');
BC_QrFile('C:\WINDOWS\system32\asr_ldm.exe');
BC_QrFile('C:\WINDOWS\system32\asr_pfu.exe');
BC_QrFile('C:\WINDOWS\System32\fdeploy.dll');
BC_QrFile('C:\WINDOWS\system32\user32.dat');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\glausb.sys');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\usb8023x.sys');
BC_QrFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe');
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 52
Карантин прислал и вот новые логи.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','080');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','459');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','881');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','733');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','824');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','997');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','570');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','662');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','661');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в hIjack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\User\LOCALS~1\Temp\asd27.tmp
O17 - HKLM\System\CCS\Services\Tcpip\..\{A86110F7-7C51-4D5A-AE33-F647F6CB2064}: NameServer = 85.255.114.12,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9BEB670-8613-4034-9841-ABA2B1CA63A7}: NameServer = 85.255.114.12,85.255.112.91
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.12 85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.12 85.255.112.91
После перезагрузки сделайте новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в hIJack
Код:
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Больше ничего необычного
Что с проблемой?
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Вот последний лог, теперь вроде бы всё в порядке.Огромное спасибо за помощь!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\umdmgr.exe - Trojan-Dropper.Win32.VB.aldh ( DrWEB: Trojan.MulDrop.64743, BitDefender: Trojan.Generic.3533075, AVAST4: Win32:Malware-gen )
-