Добрый день!
Процесс service.exe периодически пытается сделать спам рассылку. Проверка антивирусами результатов не дает. Помогите, пожалуйста.
Вложение 278748
Вложение 278749
Вложение 278750
Добрый день!
Процесс service.exe периодически пытается сделать спам рассылку. Проверка антивирусами результатов не дает. Помогите, пожалуйста.
Вложение 278748
Вложение 278749
Вложение 278750
Доброго времени суток
Отключите восстановление системы
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gqblre'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gqblre\Parameters'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\rnazyy'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\rnazyy\Parameters'); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\RavMonE.exe',''); DeleteService('ae280e0d80151003'); QuarantineFile('C:\WINDOWS\TEMP\13760cbb44cf1',''); DeleteFile('C:\WINDOWS\TEMP\13760cbb44cf1'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\RavMonE.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RavAV'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Проблема осталась. Новые логи. В папке карантин ничего нет. С отключенный интернетом к сожалению не могу сделать сканирование, т.к. подключен удаленно.
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по gqblre и выберите "Turn Run Off", потом подтвердите перезагрузку. Пвторите для rnazyy
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\temp.01128.tmp',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\rnazyy.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\gqblre.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\gqblre.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\rnazyy.sys'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\temp.01128.tmp'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('gqblre'); BC_DeleteSvc('rnazyy'); BC_DeleteSvcReg('gqblre'); BC_DeleteSvcReg('rnazyy'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо! Спама больше нет. Логи пока не могу сделать.
Уважаемый(ая) MatveevMY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.