Обнаружил 2 пользователя
1. support и host
2. под пользователем userad появились процессы waspwing......
Printable View
Обнаружил 2 пользователя
1. support и host
2. под пользователем userad появились процессы waspwing......
Уважаемый(ая) [B]Алексей Скоробогатов[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Remote Manipulator C:\Program Files (x86)\AIMP4\rutserv.exe - ваш?
Удалённый доступ в систему по RDP или ещё каким-либо способом есть? Меняйте пароль администратора, удаляйте лишних пользователей.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
поковырялся в файлах, нашёл папку C:|intel на которую ссылались объекты из автозагрузки, папку удалил! Вот образ автозапуска!
Вы, пожалуйста, ещё и на вопросы заданные отвечайте, а не только подчищайте файлы, о которых спросил.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v388c
OFFSGNSAVE
; C:\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT\WAHIVER.EXE
zoo %SystemDrive%\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT\WAHIVER.EXE
addsgn A7679B19919AF4A6B18BAE59D0B9F2FA4D62FFF6891279D5653C03B9C4FF134C237F171C5E55F74941816CE6EAF6B659F1F68A72D6E73C054F77A45BD3A7AE5A 8 Malware.RDM.38!5.2C [Rising]
dirzooex %SystemDrive%\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT
chklst
delvir
deldir %SystemDrive%\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT
delref %SystemDrive%\PROGRAM FILES (X86)\AIMP4\RUTSERV.EXE
delref %SystemDrive%\INTEL\WEB\MICROSOFT\XSTARTER\XSTARTER.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\AIMP4
delref %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\DDNS.EXE
delall C:\Windows\system32\romwln.dll
del C:\Users\Administrator\Desktop\Новая папка\user30.msi
regt 35
deltmp
czoo
deltmp
restart[/code]Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Спасибо! Remote Manipulator C:\Program Files (x86)\AIMP4\rutserv.exe был не мой!
По скрипту не создался зип архив, создался только лог (прикрепил)
Также прикрепил лог SecurityCheck
Профили лишних пользователей удалили полностью?
[QUOTE]Брандмауэр Windows (MpsSvc) - Служба остановлена
[color=red][b]Отключен общий профиль Брандмауэра Windows[/b][/color]
[color=red][b]Отключен частный профиль Брандмауэра Windows[/b][/color][/QUOTE]
Компьютер за роутером, или голым з... интервейсом в интернет выставлен? В любом случае брандмауэр должен быть включен и настроен. Иначе в один не очень прекрасный день у Вам постучатся суровые дяди из органов, обнаружившие, что Ваш компьютер снова взломан и на этот раз раздаёт детское порно...
Комп за роутером, но на роутере также не настророен ... удалил новых пользователей, у остальных изменил пароли, спасибо за помощь!
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].