Показано с 1 по 10 из 10.

windll.exe и win32 malware-gen (заявка № 64342)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2009
    Сообщений
    13
    Вес репутации
    30

    Thumbs up windll.exe и win32 malware-gen

    Добрый вечер!

    WinXP SP3, антивирус avast! Сижу под админом.

    Каждый раз после подключения к интенету avast! находил зараженные win32 malware-gen файлы в папке C:\Documents and Settings\Admin\Local Settings\Temp. файлы вида ХХХ.exe, где ХХХ - любые цифры. avast! их удалял.
    При проверке с помощью AVZ был выявлен нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-8039137574-7737941853-608425898-3854\windll.exe". windll.exe не удаляется.
    Также в папке system 32 появился файл msvmcl64.exe. Он удаляется, но каждый раз появляется вновь. Как и запись в автозагрузке MS virtual CLS.
    Проверка с помощью AVPTool эту проблему не разрешила.
    Проявления:появился "несанкционированный" исходящий трафик и диспетчер задач не показывает, какие процессы какому пользователю принадлежат.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8039137574-7737941853-608425898-3854\windll.exe','');
     QuarantineFile('c:\windows\system32\msvmcls64.exe','');
     DeleteFile('c:\windows\system32\msvmcls64.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-8039137574-7737941853-608425898-3854\windll.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
    RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    19.12.2009
    Сообщений
    13
    Вес репутации
    30
    Логи новые сделал.Проше прощения, но я случайно удалил архив с карантином(
    После выполнения скрипта возникла ошибка svchost.exe память не может быть "read".
    Также после загрузки системы в диспетчере задач появились неизвестные мне ранее процессы:
    wmiprvse.exe
    helpsvc.exe

  5. #4
    Junior Member Репутация
    Регистрация
    19.12.2009
    Сообщений
    13
    Вес репутации
    30
    Не заметил строчки DeleteFile('c:\windows\system32\msvmcls64.exe');
    и решил заново выполнить скрипт, когда msvmcls64.exe даст о себе знать , и удалил карантин.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
     QuarantineFile('C:\Program Files\uusee\UUSeePlayer.exe','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  7. #6
    Junior Member Репутация
    Регистрация
    19.12.2009
    Сообщений
    13
    Вес репутации
    30
    Всё выполнил.

  8. #7
    Junior Member Репутация
    Регистрация
    19.12.2009
    Сообщений
    13
    Вес репутации
    30
    ошибка svchost.exe при выключении ПК больше не возникает, никаких подозрительных файлов больше я не замечал. Единственное, что еще вызывает беспокойство AVZ, это TASKMAN.EXE, который сидит в процессах.
    посоветуйте, пожалуйста, что теперь с ним делать

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    >> Подмена диспетчера задач
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    19.12.2009
    Сообщений
    13
    Вес репутации
    30
    Большое Вам спасибо

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Fish-day, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 13
      Последнее сообщение: 10.11.2011, 20:58
    2. Вирусы Win32:Malware-gen и Win32:Downloader-FSO(Trj)
      От Лесик в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.04.2011, 18:05
    3. Win32:Malware-gen
      От Shagardinov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.03.2011, 21:10
    4. Ответов: 3
      Последнее сообщение: 21.02.2010, 22:09
    5. Помогите! win32.malware.gen, win32.spyware.gen, win32.trojan.gen
      От Sniky в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 28.12.2009, 22:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01078 seconds with 16 queries