Показано с 1 по 15 из 15.

Подмена диспетчера задач??? (заявка № 95463)

  1. #1
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36

    Question Подмена диспетчера задач???

    АВЗ обнаружил несколько подозрений на заразу.
    В том числе указал "Подмена диспетчера задачь"
    Прошу помочь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     QuarantineFile('C:\Documents and Settings\Papa\Application Data\bowcav.exe','');
     QuarantineFile('C:\WINDOWS\system32\68.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1847153576-6353269457-365111122-1490\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1847153576-6353269457-365111122-1490\csisf.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\68.exe');
     DeleteFile('C:\Documents and Settings\Papa\Application Data\bowcav.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    кроме того больше 15-30 минут комп не выдерживает и выдает ошибку "Generic Host Process for Win32 Services" - приходится перегружать систему (((
    Посмотрите что можно сделать !!!

  5. #4
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    карантин прилеплен.
    ГМЕР лог прилеплен

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    - Сохраните текст ниже как 1.bat в ту же папку, где находится e00dd4e3.exe(GMER) и запустите этот батник(1.bat):

    Код:
    e00dd4e3.exe -del service wichqlp 
    e00dd4e3.exe -del file "C:\WINDOWS\system32\gemizu.dll"
    e00dd4e3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wichqlp"
    e00dd4e3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\wichqlp"
    e00dd4e3.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  7. #6
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    Еще одно Файрвол -Агава в журнале показывает что какоето приложение "System" - ломится по протоколу ICMP уд.порт ICMP_UNREACH на сотни удаленных разных адресов. Не подскажете как вычислить это приложение "System"

  8. #7
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    Опять появились красные надписи в АВЗ
    Вылетел НОД - не грузится - ошибка ДЛЛ
    Почему то после загрузки стало открываться окно - C:\Documents and Settings\Papa\Мои документы
    логи прилагаю
    !!! Заблокированы службы - как включить службы
    !!! Заблокировался ЧекБокс Восстановление системы в режиме "Восстановление Отключено..." Как Включить Восстановление системы ???
    посмотрите пожалуйста логи ((
    Не грузится Комп В Защищенном Режиме ((
    Последний раз редактировалось storno2001; 17.01.2011 в 04:50.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\system32\igfxscr32.exe');
     QuarantineFile('c:\windows\system32\igfxscr32.exe','');
     DeleteFile('c:\windows\system32\igfxscr32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-9360206285-2718730298-696360600-4234\csisf.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\WINDOWS\system32\40.exe');
     DeleteFile('C:\Documents and Settings\Papa\Application Data\bowcav.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Intel Service Driver');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1391\wdni.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Behn');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');  
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1391\wdni.exe');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи АВЗ

    - Сделайте лог полного сканирования МВАМ

    - Срочно ставьте все вышедшие заплатки на Windows, иначе от зверя не избавимся!

  10. #9
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    логи и карантин приложены
    МВАМ лог не получается комп слетает на 10-15 минуте работы МВАМ
    Где взять заплатки последние на ХР SP3 не подскажете ?

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');  
     DeleteFile('C:\WINDOWS\system32\igfxscr32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-9360206285-2718730298-696360600-4234\csisf.exe');
     DeleteFile('C:\Documents and Settings\Papa\Application Data\bowcav.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Поставьте все последние обновления системы Windows - тут

    - Повторите логи

  12. #11
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    посмотрите пож логи. кажется чисто

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Плохого не вижу. Что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    90
    Вес репутации
    36
    в общем полегчало, но есть некоторая сетевая активность. Попробуем закрыть файрволом

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Цитата Сообщение от storno2001 Посмотреть сообщение
    есть некоторая сетевая активность.
    Каких процессов?

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\papa\\application data\\bowcav.exe - Trojan-Downloader.Win32.Murlo.ksb ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.110598, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
      2. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5520354, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Malware-gen )
      3. c:\\recycler\\s-1-5-21-1847153576-6353269457-365111122-1490\\csisf.exe - P2P-Worm.Win32.Palevo.bomc ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.110597, AVAST4: Win32:Malware-gen )
      4. c:\\windows\\system32\\igfxscr32.exe - Net-Worm.Win32.Kolab.rwi ( DrWEB: BackDoor.IRC.Bot.750, BitDefender: MemScan:Worm.Generic.303202, AVAST4: Win32:Kryptik-XJ [Trj] )
      5. c:\\windows\\system32\\68.exe - P2P-Worm.Win32.Palevo.bomc ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.110597, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) storno2001, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 14:12
    2. подмена диспетчера задач
      От Pace в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.12.2010, 12:26
    3. подмена диспетчера задач
      От paperstreet7 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.06.2010, 10:45
    4. Подмена диспетчера задач
      От Don_Rozario в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 28.05.2010, 20:12
    5. Ответов: 7
      Последнее сообщение: 07.05.2010, 18:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01428 seconds with 16 queries