Решена sysmngsr322.exe Подскажите, пожалуйста, можно это как-то удалить???

  • Автор темы Автор темы yuta666
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

yuta666

Новый пользователь
Сообщения
16
Реакции
0
Вся информация в файле ниже. Сам вирус Nod32 не находит...
 
Прошу прощения, только заметила правила...:)
Как все сделаю, прикреплю все, что нужно
 
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('logon.scr','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\htdschk.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe','');
 QuarantineFile('c:\windows\sysmngsr322.exe','');
 QuarantineFile('c:\matlab6p5\bin\win32\matlab.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\859.exe','');
 QuarantineFile('C:\c2.exe','');
 QuarantineFile('C:\WINDOWS\sysmngsr32.exe','');
 DeleteFile('C:\WINDOWS\sysmngsr32.exe');
 DeleteFile('C:\c2.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\859.exe');
 DeleteFile('c:\windows\sysmngsr322.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe');
 DeleteFile('C:\WINDOWS\sysmngsr322.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\htdschk.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив прикрепите к этой теме. (инструкция)

Пофиксить в HijackThis следующие строчки
Код:
	O18 - Protocol hijack: call - {AC3731EB-E738-4AEE-823A-A4B21EB6031B}

Добавлено через 2 часа 25 минут 49 секунд
Повторите логи для контроля удаления зловреда.
 
Упертый какой.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\sysmngsr322.exe');
 DeleteFile('c:\windows\sysmngsr322.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2560695694-1069348493-164887295-1611\mwau.exe');
 DeleteFile('C:\WINDOWS\sysmngsr322.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Инструкция

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 
Проверьте на www.virustotal.com (результат сообщите)

c:\windows\system32\dllcache\user32.dll

Воспользуйтесь рекомендациями из этой темы для всех локальных дисков.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\45.scr
c:\windows\system32\52.scr
c:\windows\system32\72.scr
c:\windows\system32\50.scr
c:\windows\system32\74.scr
c:\windows\system32\18.scr
c:\windows\system32\27.scr
Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteRepair(19);
end.
После выполнения скрипта компьютер перезагрузится.

И повторите в дополнение лог Gmer.
 
Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
Код:
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f781b0b2-60d3-11de-81cc-00137764ebd7}"
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3753050-fa04-11dd-b935-806d6172696f}"
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a544bc94-f9e0-11dd-80e1-00137764ebd7}"
gmer -reboot
И запустите cleanup.bat

Вот теперь я доволен.


Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Combofix-unninstal.JPG


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Что с проблемами?
 
Нод продолжает сообщать о заражении разных файлов. При этом дополнительная информация:

"Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\svchost.exe."

Или:

"Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe."

Последние действия пока не проделала
 
Понятно. Сделайте мне, пожалуйста, лог AVZ(сейчас вышла новая версия AVZ 4.32). Скачайте новую версию Combofix и подготовьте его лог.
 
Ничего вредоносного не вижу. Проверьте правила свое фаервола (возможно есть разрешающие для подозрительных соединений).

Проверьте систему cureit Если что-то найдет, сообщите.

Папки корзины почистили на всех локальных дисках?

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
 
cureit ничего не нашел
А как проверить правила фаервола? :)
 
проверим на www.virustotal.com
C:\WINDOWS\system32\svchost.exe
c:\windows\system32\wbem\wmiapsrv.exe

Попробуйте настроить, воспользовавшись этой
 
Ну, и как успехи в настройке фаервола?


Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.
 
Что-то я не понимаю, как проверить, есть ли разрешающие правила для подозрительных соединений :mda: Я там что-то прикрепила...
 
Ничего не вижу.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Combofix-unninstal.JPG


Скачайте OTCleanIt, запустите, нажмите Clean up

И повторите лог GSI.

Добавлено через 40 секунд
И повторите проверку MBAM.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу