Обнаружил 2 пользователя
1. support и host
2. под пользователем userad появились процессы waspwing......
Обнаружил 2 пользователя
1. support и host
2. под пользователем userad появились процессы waspwing......
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Алексей Скоробогатов, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Remote Manipulator C:\Program Files (x86)\AIMP4\rutserv.exe - ваш?
Удалённый доступ в систему по RDP или ещё каким-либо способом есть? Меняйте пароль администратора, удаляйте лишних пользователей.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
поковырялся в файлах, нашёл папку C:|intel на которую ссылались объекты из автозагрузки, папку удалил! Вот образ автозапуска!
Вы, пожалуйста, ещё и на вопросы заданные отвечайте, а не только подчищайте файлы, о которых спросил.
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v388c OFFSGNSAVE ; C:\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT\WAHIVER.EXE zoo %SystemDrive%\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT\WAHIVER.EXE addsgn A7679B19919AF4A6B18BAE59D0B9F2FA4D62FFF6891279D5653C03B9C4FF134C237F171C5E55F74941816CE6EAF6B659F1F68A72D6E73C054F77A45BD3A7AE5A 8 Malware.RDM.38!5.2C [Rising] dirzooex %SystemDrive%\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT chklst delvir deldir %SystemDrive%\USERS\USERAD\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\SUPPORT delref %SystemDrive%\PROGRAM FILES (X86)\AIMP4\RUTSERV.EXE delref %SystemDrive%\INTEL\WEB\MICROSOFT\XSTARTER\XSTARTER.EXE deldir %SystemDrive%\PROGRAM FILES (X86)\AIMP4 delref %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\DDNS.EXE delall C:\Windows\system32\romwln.dll del C:\Users\Administrator\Desktop\Новая папка\user30.msi regt 35 deltmp czoo deltmp restart
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Спасибо! Remote Manipulator C:\Program Files (x86)\AIMP4\rutserv.exe был не мой!
По скрипту не создался зип архив, создался только лог (прикрепил)
Также прикрепил лог SecurityCheck
Профили лишних пользователей удалили полностью?
Компьютер за роутером, или голым з... интервейсом в интернет выставлен? В любом случае брандмауэр должен быть включен и настроен. Иначе в один не очень прекрасный день у Вам постучатся суровые дяди из органов, обнаружившие, что Ваш компьютер снова взломан и на этот раз раздаёт детское порно...Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
WBR,
Vadim
Комп за роутером, но на роутере также не настророен ... удалил новых пользователей, у остальных изменил пароли, спасибо за помощь!
Выполните рекомендации после лечения.
Уважаемый(ая) Алексей Скоробогатов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
