umdmgr.exe

Printable View

11.10.2010, 14:55
Кудряш

umdmgr.exe

Не работает интернет, сначала очень медленно,а потом вообще перестает работать. Размножаются процессы umdmgr.exe.
При загрузке винды звук щелчка мыши повторяется очень часто и без перерыва (пока не закроешь процессы umdmgr.exe) + появляются окна с ошибками...

Был бы очень признателен за Вашу помощь!
11.10.2010, 16:38
Никита Соловьев

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\widrive32.exe');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\widrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\vmgre32.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('c:\windows\widrive32.exe','');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','280');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','524');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','179');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','956');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','957');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','619');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','161');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','745');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','890');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','838');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','358');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','663');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','255');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','740');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','089');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vmgre32');
DeleteFile('C:\WINDOWS\system32\vmgre32.exe');
DeleteFile('C:\WINDOWS\widrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Обновите базы AVZ!!!

Сделайте новые логи
11.10.2010, 17:21
Кудряш

Базу обновил, скрипт выполнил. вроде помогло, звуков больше посторонних нет, интернет тоже вроде работает, но мне кажется что медленно...
спасибо за помощь!!!

Вот карантин и новые логи.
11.10.2010, 21:06
Никита Соловьев

Здесь всё в порядке. Давайте посмотрим лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]
11.10.2010, 21:39
Кудряш

уже сканирую...скоро выложу лог.
Вот еще вопрос по теме, когда я юзал программу HiJackThis то там я нажал скан, сохранил лог и прислал сюда, кнопку фикс чекед нажимать надо было, ну выделев все естественно?
11.10.2010, 21:41
Никита Соловьев

[QUOTE='Кудряш;719134']кнопку фикс чекед нажимать надо было, ну выделев все естественно? [/QUOTE]Нет. Я же не просил Вас ничего фиксить :)
11.10.2010, 21:46
Кудряш

Ок, извините, я просто думал может тут надо это делать автоматом)))

Кстати нужно все диски сканировать MBAM или только "С", где винда стоит?
11.10.2010, 21:47
Никита Соловьев

[QUOTE='Кудряш;719137']Кстати нужно все диски сканировать MBAM или только "С", где винда стоит?[/QUOTE]Системного будет достаточно
12.10.2010, 00:45
Кудряш

Я просканировал все диски, случайно)

И еще вопрос, у меня на ноуте такая же проблема такой же вирь есть, но я потерял от него зарядку скоро куплю так что щас выслать сканы и тд не могу((( что делать с ним?
12.10.2010, 00:57
Никита Соловьев

[QUOTE]C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\89AR45UR\ver[1].gif (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\89AR45UR\war[1].gif (Extension.Mismatch) -> No action taken.
C:\WINDOWS\Temp\180.exe (Trojan.Cinmus) -> No action taken.[/QUOTE]удалите это
12.10.2010, 01:27
Кудряш

Спасибо) Что то еще есть или все?
12.10.2010, 01:56
Никита Соловьев

Больше ничего плохого

[QUOTE]Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180[/QUOTE]Обновитесь до sp3, установите IE8
13.10.2010, 01:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows.o[/B][*] c:\\windows\\system32\\vmgre32.exe - [B]Trojan-Dropper.Win32.VB.asjv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.48945, AVAST4: Win32:Rebhip-AC [Trj] )[*] c:\\windows\\widrive32.exe - [B]Trojan.Win32.Jorik.SdBot.kb[/B] ( DrWEB: Trojan.Packed.21077, BitDefender: Trojan.Swizzor.16743, AVAST4: Win32:Rebhip-AC [Trj] )[/LIST][/LIST]