syre32.exe в процессах никак не могу вывести
ранее в процесса .exe + umdmgr.exe и куча эксешников в папке с темп например 192.exe, 834.exe и тд.. они периодически появляются в папке Temp
вот логи(
syre32.exe + 1exe в папке temp - тормозит система и инет
syre32.exe в процессах никак не могу вывести
ранее в процесса .exe + umdmgr.exe и куча эксешников в папке с темп например 192.exe, 834.exe и тд.. они периодически появляются в папке Temp
вот логи(
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
Повторить логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\recycler\s-1-5-21-6857602577-0537029995-439220738-8830\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe',''); QuarantineFile('c:\windows\windirs.exe',''); QuarantineFile('c:\windows\system32\syre32.exe',''); QuarantineFile('c:\docume~1\den\locals~1\temp\287.exe',''); DeleteFile('c:\docume~1\den\locals~1\temp\287.exe'); DeleteFile('c:\windows\system32\syre32.exe'); DeleteFile('c:\windows\windirs.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe'); DeleteFile('c:\recycler\s-1-5-21-6857602577-0537029995-439220738-8830\wmfcgr.exe'); DeleteFile('c:\recycler\s-1-5-21-2052752408-3020997821-135273761-5652\wmfcgr.exe,'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
повторные логи
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\syre32.exe'); QuarantineFile('C:\WINDOWS\system32\svcs32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7946438995-1187017032-904787306-9133\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\RECYCLER\S-1-5-21-7946438995-1187017032-904787306-9133\wmfcgr.exe,Explorer.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe',''); QuarantineFile('c:\windows\system32\syre32.exe',''); DeleteFile('c:\windows\system32\syre32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\RECYCLER\S-1-5-21-7946438995-1187017032-904787306-9133\wmfcgr.exe,Explorer.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7946438995-1187017032-904787306-9133\wmfcgr.exe'); DeleteFile('C:\WINDOWS\system32\svcs32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svcs32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новые логи, карантин отправил
пароль "virus"
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\umdmgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0661255717-1186828553-244960704-2195\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); DeleteFile('C:\RECYCLER\S-1-5-21-0661255717-1186828553-244960704-2195\wmfcgr.exe'); DeleteFile('C:\WINDOWS\system32\umdmgr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','980'); BC_ImportAll; ExecuteSysClean; Executerepair(11); RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman'); BC_Activate; RebootWindows
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
+к shapel
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\ndll.exe c:\windows\system32\syre32.exe Driver:: Folder:: C:\FOUND.005 C:\FOUND.004 C:\FOUND.003 C:\FOUND.002 C:\FOUND.001 Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syre32] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\053] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\209] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\212] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\263] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\278] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\311] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\361] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\404] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\437] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\503] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\633] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\705] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\719] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\743] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\763] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\850] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\941] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\949] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\988] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update Setup] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\oo] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\psysnew] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svcs32] FileLook:: c:\windows\system32\cbbefbcaf2.dat DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0661255717-1186828553-244960704-2195\wmfcgr.exe - Trojan.Win32.VBKrypt.hy
- c:\windows\system32\umdmgr.exe - Trojan.Win32.VBKrypt.hz ( DrWEB: Trojan.Packed.19823 )
Уважаемый(ая) mixegg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
