Показано с 1 по 20 из 20.

постоянная подмена диспетчера задачи (заявка № 87495)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28

    Exclamation постоянная подмена диспетчера задачи

    Что тут собственно объяснять? постоянно пишет при сканирование, что диспетчер задач подменен, по удалял все подозрительные файлы которые нашел AVZ, но все равно продолжает находить левый диспетчер задач.
    логи прилагаются!
    ipfw.sys это ipfirewall
    drvmail.dll - это процесс для видео наблюдения
    cmdow.exe - это процесс скрывающий видимое окно bat/cmd файлов
    Помогите пожалуйста!
    Последний раз редактировалось Никита Соловьев; 08.09.2010 в 17:16. Причина: Удалён карантин

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\Base\ftp_get.cmd','');
     QuarantineFile('D:\Base\ObOd\ExtForms\Otch_smen.cmd','');
     QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4014497647-5353757071-242629698-6671\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-4014497647-5353757071-242629698-6671\syscr.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true); 
     ExecuteRepair(11);           
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.


    - C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat - файл знаком Вам?

  4. #3
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    - ПК от интернета/локалки.
    отключить от инета не могу, потому что этот комп я лечу удаленно
    Цитата Сообщение от Olejah Посмотреть сообщение
    ftp_get.cmd
    Otch_smen.cmd
    arh1.bat
    эти файлы все знакомы

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Скрипт выполнен? Карантин отослан?

  6. #5
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Скрипт выполнен? Карантин отослан?
    все скрипты выполнен, карантин прикрепил к первому моему сообщению

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    А кто говорил карантин прикреплять к сообщению? было написано так -
    Цитата Сообщение от Olejah Посмотреть сообщение
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  8. #7
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    А кто говорил карантин прикреплять к сообщению?
    извиняюсь. Сделал как надо

    Файл сохранён как: 100908_182430_quarantine_4c879c9e92bd9.zip
    Размер файла: 84939
    MD5: 3ea5012916963c1388fed6f8ecf8aeed

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');  
     BC_ImportAll;
     ExecuteSysClean;         
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');  
     BC_ImportAll;
     ExecuteSysClean;         
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи
    Тему можно закрывать
    После выполнения скрипта, сеть увы не поднялась и повторные логи не смогу сделать. Прийдеться ехать в командировку.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Прошу прощения, была моя ошибка. Сделайте так - программа АВЗ - Файл - Просмотр карантина, Отметьте галкой файл C:\WINDOWS\system32\linkdel.cmd и нажмите восстановить + выпоните скрипт в АВЗ -


    Код:
    begin
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel',''); 
     RebootWindows(true);
    end.
    - Компьютер перезагрузится, отпишитесь.
    Последний раз редактировалось olejah; 08.09.2010 в 19:13.

  12. #11
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Прошу прощения, была моя ошибка. Сделайте так - программа АВЗ - Файл - Просмотр карантина, Отметьте галкой файл C:\WINDOWS\system32\linkdel.cmd и нажмите восстановить + выпоните скрипт в АВЗ -


    Код:
    begin
     RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); 
     RebootWindows(true);
    end.
    - Компьютер перезагрузится, отпишитесь.
    легко сказать/написать, я писал, что лечу тачку удаленно и это все мне теперь как то надо продиктовать блондинкам. Первый пункт еще как то можно сделать в телефоном режиме, а вот второй пункт......извините уже никак...............

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Этот файл на сеть не должен влиять. Пусть пробуют поднять.

  14. #13
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Этот файл на сеть не должен влиять. Пусть пробуют поднять.
    щас попытаюсь как то смс-ками их заспамить, пусть пишут
    надеюсь оно поднимется после ребута, очень надеюсь )))))))))

    Добавлено через 15 минут

    Цитата Сообщение от Olejah Посмотреть сообщение
    Этот файл на сеть не должен влиять. Пусть пробуют поднять.
    вообщем они все написали, при запуска скрипта, выдает какую то ошибку, 2.20, я так понимаю это 2-я строка, 20 символ или как?
    Последний раз редактировалось white_ghost; 08.09.2010 в 19:02. Причина: Добавлено

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Поправлено, а что с сетью?

  16. #15
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Поправлено, а что с сетью?
    так 20-й символ это "("
    по поводу сети, схема там такая, провайдер дает риал-айпи, маску, шлуз и днс и этоти айпишники вручную прописываются на сетевой карте. Проверял по телефону, все айпишники на месте, но не работает инет

    Добавлено через 1 час 16 минут

    вообщем, так у меня не вышло ничего объяснить блондинкам, завтра буду на месте, выполню сам этот скрипт, если поможет - отпишусь и сделаю логи, если надо, если не поможет, переставлю систему. В любом случаи я отпишусь.
    Последний раз редактировалось white_ghost; 08.09.2010 в 20:33. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Можно продолжать дискуссию, таки после запуска этого скрипта и после ребута сетка поднялась. что мне дальше делать? делать новые логи или ждать новый скрипт для исполнения?

  18. #17
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Вообщем сделал новые логи, появилась проблема следующая, запустил TCPVIEW и там постоянно system procces отрывает ТСР сессии на 25 порт(smtp)... и закрылся антивирус.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    26
    Вес репутации
    28
    Цитата Сообщение от thyrex Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Извиняюсь что долго не отписывался, был в командировке. Тему можно закрывать. Проблема была решена вчера, переустановкой системы, больше никаких лишних движений в сторону сети подозрительных процессов не обнаружено.
    Спасибо.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o


  • Уважаемый(ая) white_ghost, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 14:12
    2. Подмена диспетчера задач
      От Tweaksis в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.10.2011, 17:13
    3. подмена диспетчера задач
      От Pace в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.12.2010, 12:26
    4. Ответов: 7
      Последнее сообщение: 07.05.2010, 18:29
    5. Подмена диспетчера задач?
      От Mikhail33 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.01.2010, 21:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01260 seconds with 16 queries