Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Вирус (заявка № 76215)

  1. #1
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25

    Thumbs up Вирус

    syre32.exe
    umdmgr.exe
    Вложения Вложения
    Последний раз редактировалось Tr1ck; 16.04.2010 в 08:39. Причина: карантин в теме неуместен

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Отключите восстановление системы
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\umdmgr.exe');
     TerminateProcessByName('c:\windows\system32\syre32.exe');
     QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
     QuarantineFile('C:\WINDOWS\ndll.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4317699004-3426768726-776797437-9223\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('c:\windows\system32\wbem\wmiprvse.exe','');
     QuarantineFile('c:\windows\system32\umdmgr.exe','');
     QuarantineFile('c:\windows\system32\syre32.exe','');
     DeleteFile('c:\windows\system32\syre32.exe');
     DeleteFile('c:\windows\system32\umdmgr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4317699004-3426768726-776797437-9223\wmfcgr.exe');
     DeleteFile('C:\WINDOWS\ndll.exe');
     DeleteFile('C:\WINDOWS\system32\syre32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\jjdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cddov');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','165');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','204');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','046');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','719');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','368');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','560');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','408');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','coF2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','177');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','770');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteWizard('TSW',2,2,true);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    Получили?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от Tr1ck Посмотреть сообщение
    Получили?
    да

    Цитата Сообщение от DefesT Посмотреть сообщение
    Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
    делайте...

  6. #5
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    Цитата Сообщение от polword Посмотреть сообщение
    да


    делайте...
    Я же сделал....

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    После выполнения скрипта новые логи делали? Если нет, тогда приступайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    После выполнения скрипта новые логи делали? Если нет, тогда приступайте
    Да сделал уже!!!

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    Выкладывать нужно в новое сообщение, а не заменять в первом

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
     QuarantineFile('C:\WINDOWS\system32\smlogsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\shmgrate.exe','');
     QuarantineFile('C:\WINDOWS\system32\rdpclip.exe','');
     QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\eu\EasyAntiCheat.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\StrongDC-v2.30.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\audacity-win-1.2.6.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\ApexDC++_1.3.0_setup.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    вот
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    Код:
    C:\WINDOWS\system32\netdde.exe
    C:\WINDOWS\system32\progman.exe
    C:\WINDOWS\system32\rdpclip.exe
    C:\WINDOWS\system32\shmgrate.exe
    C:\WINDOWS\system32\smlogsvc.exe
    Замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\eu\EasyAntiCheat.exe:Zone.Identifier:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\StrongDC-v2.30.exe:Zone.Identifier:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\audacity-win-1.2.6.exe:Zone.Identifier:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\ApexDC++_1.3.0_setup.exe:Zone.Identifier:$DATA');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    ещё
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    вот
    Вложения Вложения

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    c:\windows\system32\clipsrv.exe . . . is infected!!
    c:\windows\system32\ipsec6.exe . . . is infected!!
    c:\windows\system32\napstat.exe . . . is infected!!
    c:\windows\system32\powercfg.exe . . . is infected!!
    c:\windows\system32\proquota.exe . . . is missing!!
    c:\windows\System32\srsvc.dll ... is missing !!
    c:\windows\System32\wscntfy.exe ... is missing !!
    c:\windows\System32\regsvc.dll ... is missing !!
    c:\windows\System32\schedsvc.dll ... is missing !!
    Все эти файлы нужно восстановить или заменить с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\ndll2.exe
    c:\documents and settings\Администратор\cddov.bat
    c:\documents and settings\Администратор\cvddov.exe
    c:\documents and settings\Администратор\coF2.bat
    
    Driver::
    zcxebzjz
    
    NetSvc::
    zcxebzjz
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "9704:TCP"=-
    
    FileLook::
    c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    c:\windows\system32\proquota.exe . . . is missing!!
    c:\windows\System32\srsvc.dll ... is missing !!
    c:\windows\System32\wscntfy.exe ... is missing !!
    c:\windows\System32\regsvc.dll ... is missing !!
    Не могу найти эти файлы

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    Эти файлы
    Цитата Сообщение от thyrex Посмотреть сообщение
    нужно восстановить ... с дистрибутива
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    Эти файлы
    В папке I386 их нету

    Добавлено через 2 минуты

    Предупреждение! – данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.
    Нашел в интернете!
    Последний раз редактировалось Tr1ck; 17.04.2010 в 12:51. Причина: Добавлено

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    А у Вас нужно
    Цитата Сообщение от Tr1ck Посмотреть сообщение
    c:\windows\System32\regsvc.dll
    Распакуйте файлы из вложения в папку system32
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    25
    лог
    Вложения Вложения

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,632
    Вес репутации
    2917
    c:\windows\system32\clipsrv.exe . . . is infected!!
    c:\windows\system32\schedsvc.dll . . . is infected!!
    Почему их не заменили?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Tr1ck, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00883 seconds with 21 queries