wmfcgr.exe - этот файл постоянно появляется в папках C:\RECYCLER и лезет в автозагрузку (хотя в диспетчере задач не отображается). Еще в автозагрузке висит C:\WINDOWS\ndll.exe.
Вчера вручную удалил файлы jjdrive32.exe, umdmgr.exe, syre32.exe. Очень медленно работал интернет и время от времени вылетало окно
Generic Host Process for Win32 Services – обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
C помощью Kaspersky Virus Removal Tool удалил следующие файлы:
24.03.2010 22:11:52 Обнаружено: P2P-Worm.Win32.Palevo.yii C:\RECYCLER\S-1-5-21-9518453161-9782939014-978234319-2388\wmfcgr.exe
25.03.2010 0:18:57 Будет удалено при перезагрузке: P2P-Worm.Win32.Palevo.yii C:\RECYCLER\S-1-5-21-9518453161-9782939014-978234319-2388\wmfcgr.exe
25.03.2010 10:35:10 Обнаружено: Trojan.Win32.Scar.bxok C:\Documents and Settings\Лариса\Local Settings\Temp\405.exe
25.03.2010 10:35:10 Обнаружено: P2P-Worm.Win32.Palevo.xlw C:\Documents and Settings\Лариса\Local Settings\Temp\837.exe
25.03.2010 10:35:13 Обнаружено: Trojan.Win32.Scar.bxok C:\Documents and Settings\Лариса\Local Settings\Temporary Internet Files\Content.IE5\EMUO5L4P\v19[1].gif
25.03.2010 10:35:48 Обнаружено: P2P-Worm.Win32.Palevo.xlw C:\Documents and Settings\Лариса\Local Settings\Temporary Internet Files\Content.IE5\WH67WL2R\slow19[1].data
но тем не менее, после перезагрузки эта дрянь появляется вновь. Стоит Dr.Web Версия 5.0.3.0201
Затем выполнил следующий скрипт CyberHelper:
begin
SearchRootkit(true, true);
QuarantineFile('ACDV.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\ndll.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_Activate;
RebootWindows(true);
end. Но и после этого в папке C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351 появились файлы desktop.ini и wmfcgr.exe, которые система удалить не дает. В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Taskman устанавливается значение C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe, которое восстанавливается через несколько секунд после удаления. В C:\WINDOWS опять появился файл ndll.exe со ссылкой на него в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Параметр: oo Значение: C:\WINDOWS\ndll.exe
В папке C:\Documents and Settings\Лариса\Local Settings\Temp я нашел файлы 399.exe и 737.exe
При этом все вышеперечисленные файлы имеют одинаковые иконки и больше не детектируются Kaspersky Virus Removal Tool
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз) Отключите восстановление системы
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
При этом при просмотре папок C:\RECYCLER\
S-1-5-21-0243936033-3052116371-381863308-1811
S-1-5-21-0572089776-2802407344-210906292-7936
S-1-5-21-1292428093-1682526488-1957994488-1004
S-1-5-21-1543188107-9766018058-139418517-1351
S-1-5-21-3697195426-2445346125-626125526-4255
S-1-5-21-3708603202-9827555670-845625993-9998
S-1-5-21-6375130521-8330506115-170535193-7402
S-1-5-21-8574770430-7325447591-460505849-3767
в Проводнике в каждой папке отображаются два одинаковых файла с названием wmfcgr.exe. В FAR manager этих файлов не видно, но в папке S-1-5-21-1292428093-1682526488-1957994488-1004 есть два ехе-файла
dc1.exe
dc2.exe
Иконки те же
Карантин прислал
Результат загрузки
Файл сохранён как 100325_145101_virus_4bab4e253e418.zip
Размер файла 317382
MD5 7a7d17b5b1535c7a0a386c131f3a88d7
Файл закачан, спасибо!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: