Показано с 1 по 11 из 11.

Поймал вирус usb_mgr.exe, Dr Web - CureIt его находит, удаляет, но затем он восстанавливается. (заявка № 50395)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    5
    Вес репутации
    32

    Exclamation Поймал вирус usb_mgr.exe, Dr Web - CureIt его находит, удаляет, но затем он восстанавливается.

    Не так давно заметил, что браузер странно работает (страницы перестают грузится, как будто ктото нажимает на стоп через мгновение после того, как я нажал перейти). При этом торрент-программа работает нормально, значит с соединением всё в порядке.
    Открыл дсипетчер задач - увидел подозрительный процесс usb_mgr.exe, после выключения которого работа нормализовалась.
    Я сделал вывод что это вирус и проверил компьютер на вирусы в безопасном режиме Dr Web - CureIt, который определил этот файл (usb_mgr.exe, лежащий в C:\Windows\) а также файл ms07.exe (в папке С:\Wndows\system32) как вирусные, с одинаковым названием вируса (Trojan.MulDrop.32672 впрочем Касперский его назвал както по другому Trojan.Agent. или нечто в этом роде)
    Эти файлы были удалены, однако впоследствии восстановились и так продолжалось после каждого их удаления.
    Также файл usb_mgr.exe оказывается постоянно прописанным в автозапуск в реестре (HKEY_LM)
    Вложения Вложения
    Последний раз редактировалось Mr_D; 21.07.2009 в 19:03.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DelCLSID('3B818B63-1E0F-602F-0308-050407080101');
     QuarantineFile('C:\WINDOWS\system32\windows','');
     DelBHO('{B863453A-26C3-4e1f-A54D-A2CD196348E9}');
     DelBHO('{ED4BD629-C1B6-4399-8A34-02CCAA921DC9}');
     DelBHO('{8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489}');
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
     DelBHO('{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}');
     QuarantineFile('C:\WINDOWS\usb_mgr.exe','');
     DeleteFile('C:\WINDOWS\usb_mgr.exe');
     DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
     DeleteFile('C:\WINDOWS\system32\windows');
     DeleteFile('usb_mgr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=50395

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    5
    Вес репутации
    32
    Скрипт выполнил, Карантин отправил, вот повтор логов.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\mrmngr.exe','');
     TerminateProcessByName('c:\windows\mrmngr.exe');
     DeleteFile('c:\windows\mrmngr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=50395

    3. Повторите лог virusinfo_syscheck.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    5
    Вес репутации
    32
    Сделано...
    Кстати, теперь в автозагрузке помимо usb_mgr.exe ещё и mrmngr.exe
    В процессах так же стал появляться подозрительный "ms08nx.exe" (проверил CureIT - определил его так же как и файлы из первых постов - Trojan.MulDrop.32672)
    Вложения Вложения
    Последний раз редактировалось Mr_D; 21.07.2009 в 20:34.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью AVPTool и повторите логи...
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    5
    Вес репутации
    32
    Временные файлы почистил, кэш почистил, AVPtool посканил (нашёл и удалил вышеописанные файлы, но наверн это опять не на долго)
    Вот логи )
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логах ничего плохого. Ставьте SP3 и последующие обновления, иначе действительно не надолго.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    5
    Вес репутации
    32
    Ну даже если в логах ничего и нет, но всеравно процессы mrmngr.exe и usb_mgr.exe (как и соответсвующие им ms08nx.exe и ms07.exe) восстанавливаются в системных папках и появляются в списке процессов - то один то другой и пока их не завершить браузеры работают так, как я описал в первом посте.
    Все эти файлы определяются как "Trojan.Win32.Agent.cqun" средствами Касперского и как "Trojan.MulDrop.32672" средствами Доктора Веба.

    Хм... СП3 действительно надо бы поставить...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Их с большой вероятностью впихивают снаружи через дырки в системе. Ставьте обновления.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\mrmngr.exe - Backdoor.Win32.IRCBot.lgq ( DrWEB: Trojan.MulDrop.32672 )
      2. c:\windows\usb_mgr.exe - Trojan.Win32.Agent.cqun


  • Уважаемый(ая) Mr_D, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 09.04.2010, 17:00
    2. Ответов: 1
      Последнее сообщение: 21.09.2009, 14:53
    3. Ответов: 10
      Последнее сообщение: 18.09.2009, 19:08
    4. Касперский находит вирус и не удаляет
      От Akson в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:32
    5. KIS удаляет и снова находит вирус
      От promobox в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.09.2008, 12:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00797 seconds with 17 queries