Решена sysmngsr322.exe Подскажите, пожалуйста, можно это как-то удалить???

Тема в разделе "Лечение компьютерных вирусов", создана пользователем yuta666, 8 авг 2009.

Статус темы:
Закрыта.
  1. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Вся информация в файле ниже. Сам вирус Nod32 не находит...
     
  2. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Прошу прощения, только заметила правила...:)
    Как все сделаю, прикреплю все, что нужно
     
  3. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Результаты
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('logon.scr','');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\htdschk.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe','');
     QuarantineFile('c:\windows\sysmngsr322.exe','');
     QuarantineFile('c:\matlab6p5\bin\win32\matlab.exe','');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\859.exe','');
     QuarantineFile('C:\c2.exe','');
     QuarantineFile('C:\WINDOWS\sysmngsr32.exe','');
     DeleteFile('C:\WINDOWS\sysmngsr32.exe');
     DeleteFile('C:\c2.exe');
     DeleteFile('c:\docume~1\admin\locals~1\temp\859.exe');
     DeleteFile('c:\windows\sysmngsr322.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe');
     DeleteFile('C:\WINDOWS\sysmngsr322.exe');
     DeleteFile('c:\docume~1\admin\locals~1\temp\htdschk.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к этой теме. (инструкция)

    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O18 - Protocol hijack: call - {AC3731EB-E738-4AEE-823A-A4B21EB6031B}
    Добавлено через 2 часа 25 минут 49 секунд
    Повторите логи для контроля удаления зловреда.
     
    2 пользователям это понравилось.
  5. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Повторяю...
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Упертый какой.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\sysmngsr322.exe');
     DeleteFile('c:\windows\sysmngsr322.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-2560695694-1069348493-164887295-1611\mwau.exe');
     DeleteFile('C:\WINDOWS\sysmngsr322.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
    Инструкция

    Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
    Описание SDFix есть здесь


    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."

    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
  7. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Проверьте на www.virustotal.com (результат сообщите)

    c:\windows\system32\dllcache\user32.dll

    Воспользуйтесь рекомендациями из этой темы для всех локальных дисков.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    KillAll::

    File::
    c:\windows\system32\45.scr
    c:\windows\system32\52.scr
    c:\windows\system32\72.scr
    c:\windows\system32\50.scr
    c:\windows\system32\74.scr
    c:\windows\system32\18.scr
    c:\windows\system32\27.scr
    Driver::

    Folder::

    Registry::

    FileLook::

    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteRepair(19);
    end.
    После выполнения скрипта компьютер перезагрузится.

    И повторите в дополнение лог Gmer.
     
  9. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    результаты
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
    Код (Text):

    gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f781b0b2-60d3-11de-81cc-00137764ebd7}"
    gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3753050-fa04-11dd-b935-806d6172696f}"
    gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a544bc94-f9e0-11dd-80e1-00137764ebd7}"
    gmer -reboot
    И запустите cleanup.bat

    Вот теперь я доволен.


    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Что с проблемами?
     
  11. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Нод продолжает сообщать о заражении разных файлов. При этом дополнительная информация:

    "Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\svchost.exe."

    Или:

    "Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe."

    Последние действия пока не проделала
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Понятно. Сделайте мне, пожалуйста, лог AVZ(сейчас вышла новая версия AVZ 4.32). Скачайте новую версию Combofix и подготовьте его лог.
     
  13. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Ничего вредоносного не вижу. Проверьте правила свое фаервола (возможно есть разрешающие для подозрительных соединений).

    Проверьте систему cureit Если что-то найдет, сообщите.

    Папки корзины почистили на всех локальных дисках?

    Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
     
  15. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    cureit ничего не нашел
    А как проверить правила фаервола? :)
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    проверим на www.virustotal.com
    C:\WINDOWS\system32\svchost.exe
    c:\windows\system32\wbem\wmiapsrv.exe

    Попробуйте настроить, воспользовавшись этой
     
  17. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Проверила
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Ну, и как успехи в настройке фаервола?


    Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.
     
  19. yuta666
    Оффлайн

    yuta666 Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Что-то я не понимаю, как проверить, есть ли разрешающие правила для подозрительных соединений :mda: Я там что-то прикрепила...
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Ничего не вижу.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt, запустите, нажмите Clean up

    И повторите лог GSI.

    Добавлено через 40 секунд
    И повторите проверку MBAM.
     
Статус темы:
Закрыта.

Поделиться этой страницей