Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Вирус (заявка № 76215)

  1. #1
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51

    Thumbs up Вирус

    syre32.exe
    umdmgr.exe
    Последний раз редактировалось Tr1ck; 16.04.2010 в 08:39. Причина: карантин в теме неуместен

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Отключите восстановление системы
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\umdmgr.exe');
     TerminateProcessByName('c:\windows\system32\syre32.exe');
     QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
     QuarantineFile('C:\WINDOWS\ndll.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4317699004-3426768726-776797437-9223\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('c:\windows\system32\wbem\wmiprvse.exe','');
     QuarantineFile('c:\windows\system32\umdmgr.exe','');
     QuarantineFile('c:\windows\system32\syre32.exe','');
     DeleteFile('c:\windows\system32\syre32.exe');
     DeleteFile('c:\windows\system32\umdmgr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4317699004-3426768726-776797437-9223\wmfcgr.exe');
     DeleteFile('C:\WINDOWS\ndll.exe');
     DeleteFile('C:\WINDOWS\system32\syre32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\jjdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cddov');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','165');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','204');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','046');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','719');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','368');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','560');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','408');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','coF2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','177');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','770');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteWizard('TSW',2,2,true);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    Получили?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от Tr1ck Посмотреть сообщение
    Получили?
    да

    Цитата Сообщение от DefesT Посмотреть сообщение
    Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
    делайте...

  6. #5
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    Цитата Сообщение от polword Посмотреть сообщение
    да


    делайте...
    Я же сделал....

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    После выполнения скрипта новые логи делали? Если нет, тогда приступайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    После выполнения скрипта новые логи делали? Если нет, тогда приступайте
    Да сделал уже!!!

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выкладывать нужно в новое сообщение, а не заменять в первом

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
     QuarantineFile('C:\WINDOWS\system32\smlogsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\shmgrate.exe','');
     QuarantineFile('C:\WINDOWS\system32\rdpclip.exe','');
     QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\eu\EasyAntiCheat.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\StrongDC-v2.30.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\audacity-win-1.2.6.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\ApexDC++_1.3.0_setup.exe:Zone.Identifier:$DATA','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    вот

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Код:
    C:\WINDOWS\system32\netdde.exe
    C:\WINDOWS\system32\progman.exe
    C:\WINDOWS\system32\rdpclip.exe
    C:\WINDOWS\system32\shmgrate.exe
    C:\WINDOWS\system32\smlogsvc.exe
    Замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\eu\EasyAntiCheat.exe:Zone.Identifier:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\StrongDC-v2.30.exe:Zone.Identifier:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\audacity-win-1.2.6.exe:Zone.Identifier:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\ApexDC++_1.3.0_setup.exe:Zone.Identifier:$DATA');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    ещё

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    вот

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    c:\windows\system32\clipsrv.exe . . . is infected!!
    c:\windows\system32\ipsec6.exe . . . is infected!!
    c:\windows\system32\napstat.exe . . . is infected!!
    c:\windows\system32\powercfg.exe . . . is infected!!
    c:\windows\system32\proquota.exe . . . is missing!!
    c:\windows\System32\srsvc.dll ... is missing !!
    c:\windows\System32\wscntfy.exe ... is missing !!
    c:\windows\System32\regsvc.dll ... is missing !!
    c:\windows\System32\schedsvc.dll ... is missing !!
    Все эти файлы нужно восстановить или заменить с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\ndll2.exe
    c:\documents and settings\Администратор\cddov.bat
    c:\documents and settings\Администратор\cvddov.exe
    c:\documents and settings\Администратор\coF2.bat
    
    Driver::
    zcxebzjz
    
    NetSvc::
    zcxebzjz
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "9704:TCP"=-
    
    FileLook::
    c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    c:\windows\system32\proquota.exe . . . is missing!!
    c:\windows\System32\srsvc.dll ... is missing !!
    c:\windows\System32\wscntfy.exe ... is missing !!
    c:\windows\System32\regsvc.dll ... is missing !!
    Не могу найти эти файлы

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Эти файлы
    Цитата Сообщение от thyrex Посмотреть сообщение
    нужно восстановить ... с дистрибутива
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Эти файлы
    В папке I386 их нету

    Добавлено через 2 минуты

    Предупреждение! – данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.
    Нашел в интернете!
    Последний раз редактировалось Tr1ck; 17.04.2010 в 12:51. Причина: Добавлено

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    А у Вас нужно
    Цитата Сообщение от Tr1ck Посмотреть сообщение
    c:\windows\System32\regsvc.dll
    Распакуйте файлы из вложения в папку system32
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    33
    Вес репутации
    51
    лог

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    c:\windows\system32\clipsrv.exe . . . is infected!!
    c:\windows\system32\schedsvc.dll . . . is infected!!
    Почему их не заменили?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Tr1ck, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00212 seconds with 16 queries