Троян Win32
Здравствуйте, моя проблема такова: постоянно создаются лже exe-шники типа 405.exe, доступ в интернет либо отсутствует, либо есть но с очень малой скоростью.Хотя я работаю через Opera вирус пытается скачать что-либо через IE - появляются окна-ошибки о невозможности продолжения сценария по различным адресам при том что IE даже не запущен.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Пожалуйста, выполните скрипт AVZ:
В ходе выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\System32\appmgmts.dll', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\asr_fmt.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\asr_ldm.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\asr_pfu.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\System32\fdeploy.dll', 'CHQ=N'); QuarantineFile('c:\windows\system32\umdmgr.exe', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\user32.dat', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\glausb.sys', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\usb8023x.sys', 'CHQ=S'); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe', 'CHQ=S'); BC_QrFile('C:\WINDOWS\System32\appmgmts.dll'); BC_QrFile('C:\WINDOWS\system32\asr_fmt.exe'); BC_QrFile('C:\WINDOWS\system32\asr_ldm.exe'); BC_QrFile('C:\WINDOWS\system32\asr_pfu.exe'); BC_QrFile('C:\WINDOWS\System32\fdeploy.dll'); BC_QrFile('C:\WINDOWS\system32\user32.dat'); BC_QrFile('C:\WINDOWS\system32\DRIVERS\glausb.sys'); BC_QrFile('C:\WINDOWS\system32\DRIVERS\usb8023x.sys'); BC_QrFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe'); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Карантин прислал и вот новые логи.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); TerminateProcessByName('c:\windows\system32\umdmgr.exe'); DeleteFile('c:\windows\system32\umdmgr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','080'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','459'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','881'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','733'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','824'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','997'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','570'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','662'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','661'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Пофиксите в hIjack
После перезагрузки сделайте новый лог HiJackКод:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\User\LOCALS~1\Temp\asd27.tmp O17 - HKLM\System\CCS\Services\Tcpip\..\{A86110F7-7C51-4D5A-AE33-F647F6CB2064}: NameServer = 85.255.114.12,85.255.112.91 O17 - HKLM\System\CCS\Services\Tcpip\..\{F9BEB670-8613-4034-9841-ABA2B1CA63A7}: NameServer = 85.255.114.12,85.255.112.91 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.12 85.255.112.91 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.12 85.255.112.91
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновил лог:
Пофиксите в hIJack
Больше ничего необычногоКод:O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Что с проблемой?
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот последний лог, теперь вроде бы всё в порядке.Огромное спасибо за помощь!
Чисто. Обновляйтесь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\umdmgr.exe - Trojan-Dropper.Win32.VB.aldh ( DrWEB: Trojan.MulDrop.64743, BitDefender: Trojan.Generic.3533075, AVAST4: Win32:Malware-gen )
Уважаемый(ая) dr_gonzo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
