В автозагрузке появился msfrag.exe. Вот он один вызывает подозрение. Пытался удалить безуспешно. Неудобство
еще в том что подключен удаленно через радмин. Думаю в безопасном режиме можно было бы, но нет возможности.
Нужен скрипт для удаления...
Буду признателен за помощь!
Заранее благодарен.
Подозрение что этот файл ("C:\Documents and Settings\anna1\Application Data\Ihitliy\fyetu.exe"), также как то связан с msfrag.exe.
Он также просписался в автозагрузку. Anvir task manager не может заблокировать и удалить процесс...
Последний раз редактировалось bayer; 26.01.2012 в 20:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bayer, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\anna1\Главное меню\Программы\Автозагрузка\msfrag.exe','');
QuarantineFile('C:\Documents and Settings\anna1\Application Data\Ihitliy\fyetu.exe','');
DeleteFile('C:\Documents and Settings\anna1\Application Data\Ihitliy\fyetu.exe');
DeleteFile('C:\Documents and Settings\anna1\Главное меню\Программы\Автозагрузка\msfrag.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','{FE8B8CAB-B8B1-88DC-7DAA-E883D8D74E18}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Респект и уважуха! Все удалилось! svhost.exe теперь работает от системы! Сделал лог gmer, но ему что не понравилось...
Прилагаю новые логи...
С уважением
Gmer ругнулся только на это:
Service C:\WINDOWS\system32\svchost.exe (***hidden*** ) [AUTO] gygudtle
Может ничего страшного?
Последний раз редактировалось bayer; 27.01.2012 в 15:21.
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
mu11xwus.exe -del service gygudtle
mu11xwus.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gygudtle"
mu11xwus.exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили mu11xwus.exe (gmer)
4. Укажите Тип файла - [/b]Все файлы (*.*)[/b]
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
К сожаление, до понедельника нет возможности это сделать. Компьютер уже выключил а включить не кому.
В понедельник сделаю и выложу новые логи Gmer.
Еще раз хочу поблагодарить за помощь...
В дальнейшем обязательно поддержу проект!
С уважением Борис.
Ну кажется всё...
Прикрепляю логи Gmer новые. Да после на всякий случай прошелся Cleaner и в реестре остались не работающие записи. Удалил.
Надеюсь, что на этом всё!
Респект и уважуха Thyrex!
Ну кажется всё...
Прикрепляю логи Gmer новые. Да после на всякий случай прошелся Cleaner и в реестре остались не работающие записи на msfrag.exe и fyetu.exe. Удалил.
Надеюсь, что на этом всё!
Респект и уважуха Thyrex!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: