-
Junior Member
- Вес репутации
- 53
bestphotocard.com, syre32 и undmgr
1. Нод постоянно выдает сообщение с заблокированный IP с бестфотокарт, сам процесс на первый взгляд не вредит но частое мелькание этой таблички доставляет большие неудобства в работе и очень хотелось бы от нее избавится.
2. В диспетчере процессов и автозагрузке появились 2 странных процесса которые при выполнении копирования (возможно и других операций просто не обращал внимания) начинают забивать производительность процессора что сильно замедляет работу с компьютером.
Надеюсь на вашу помощь в борьбе с этими проблемами.
Прилагаю логи авз и хайджек
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7514561525-3682566482-510169068-2640\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('c:\windows\system32\umdmgr.exe','');
QuarantineFile('c:\windows\system32\syre32.exe','');
DeleteFile('c:\windows\system32\syre32.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7514561525-3682566482-510169068-2640\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\syre32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 53
Сообщение о бест фотокорд вроде больше не появляется. Вот новые логи.
-
-
-
Junior Member
- Вес репутации
- 53
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-5869007495-7273206588-585893195-7870\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-5869007495-7273206588-585893195-7870\wmfcgr.exe,C:\RECYCLER\S-1-5-21-2507124389-4378065580-684433122-0317\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0523301046-3078256434-600170600-9199\wmfcgr.exe','');
QuarantineFile('c:\windows\system32\43.exe','');
DeleteFile('c:\windows\system32\43.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-5869007495-7273206588-585893195-7870\wmfcgr.exe,C:\RECYCLER\S-1-5-21-2507124389-4378065580-684433122-0317\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0523301046-3078256434-600170600-9199\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\syre32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5869007495-7273206588-585893195-7870\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\01.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ
Сделайте новый лог virusinfo_syscheck.zip + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Новые логи
Езет стал выдавать сообщения со ссылкой на системные процессы (в частности диспетчера задач и др.) и сообщением о том что они заражены Polip вирусом
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2964248019-8582334640-535456727-3969\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2964248019-8582334640-535456727-3969\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\ndll.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Отключите восстановление системы
Установите все обновления, вышедшие после SP3
Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кнопку мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe
umdmgr.exe
syre32.exe
900.exe
:Services
:Files
c:\windows\system32\umdmgr.exe
c:\windows\system32\syre32.exe
C:\RECYCLER\S-1-5-21-0810617830-4919850464-306493439-1074\wmfcgr.exe
c:\windows\ndll2.exe
c:\docume~1\max\locals~1\temp\900.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[HKEY_LOCALE_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=dword:000000dd
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), запакуйте его и прикрепите к следующему сообщению
Сделайте новые логи AVZ и ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-2964248019-8582334640-535456727-3969\wmfcgr.exe - Trojan.Win32.VBKrypt.ia ( DrWEB: Trojan.Inject.8502, BitDefender: Trojan.Generic.3600853, AVAST4: Win32:VB-OTY [Drp] )
- c:\recycler\s-1-5-21-5869007495-7273206588-585893195-7870\wmfcgr.exe - P2P-Worm.Win32.Palevo.xmr ( DrWEB: Trojan.MulDrop1.9814, BitDefender: Worm.Generic.234391, AVAST4: Win32:Malware-gen )
- c:\windows\system32\syre32.exe - Trojan.Win32.VB.admh ( DrWEB: Trojan.Packed.19824, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\umdmgr.exe - Trojan.Win32.VBKrypt.hz ( DrWEB: Trojan.Packed.19823 )
- c:\windows\system32\43.exe - Trojan.Win32.VBKrypt.ia ( DrWEB: Trojan.Inject.8502, BitDefender: Trojan.Generic.3600853, AVAST4: Win32:VB-OTY [Drp] )
-