-
Junior Member
- Вес репутации
- 52
winesm32.exe в автозагрузке грузит процессор на 100%
Вот собственно, появился вчера. Антивирусы (Аваст и DrWeb) не помогают. Удаление из автозагрузки тоже не помогает, появляется опять.
Кстати откуда появился не знаю, вроде ничего нового не ставил.
Вот похожая проблема была решена:
http://virusinfo.info/showthread.php?t=72405
Но не стал использовать чужую инструкцию. Надеюсь на вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в hiJack
Код:
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
QuarantineFile('C:\Documents and Settings\Pyro\Главное меню\Программы\Автозагрузка\winesm32.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Documents and Settings\Pyro\Главное меню\Программы\Автозагрузка\winesm32.exe');
DeleteFile('C:\WINDOWS\system32\msconfig.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Все сделал. Вроде больше не появляется.
Спасибо большое!
Карантин тоже отправил.
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe','');
QuarantineFile('C:\WINDOWS\system32\sysuser\svchost.exe','');
DeleteService('MSSystem');
DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог по правилам virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
DefesT
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe','');
QuarantineFile('C:\WINDOWS\system32\sysuser\svchost.exe','');
DeleteService('MSSystem');
DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил
Прислать запрошенный карантин вверху темы. Сделайте новый лог по правилам virusinfo_syscheck.zip
Не пойму. Это нужно сделать с учетом, того что я уже сделал или вы отвечаете на мое первое обращение.
-
-
-
Pyro, у Вас LanAgent установлен?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Pyro, у Вас LanAgent установлен?
Ага, стоит.
-
Тогда не стоит выполнять скрипт последний скрипт DefesT
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
Больше плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Тогда не стоит выполнять скрипт последний скрипт
DefesT
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
Больше плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Обновите
JavaRE
Хорошо, спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\pyro\главное меню\программы\автозагрузка\winesm32.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Botnetlog.126, BitDefender: Trojan.Generic.3272593, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Malware-gen )
-