Решена sysmngsr322.exe Подскажите, пожалуйста, можно это как-то удалить???
- Автор темы yuta666
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
Полученный архив прикрепите к этой теме. (инструкция)
Пофиксить в HijackThis следующие строчки
Добавлено через 2 часа 25 минут 49 секунд
Повторите логи для контроля удаления зловреда.
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('logon.scr','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\htdschk.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe','');
QuarantineFile('c:\windows\sysmngsr322.exe','');
QuarantineFile('c:\matlab6p5\bin\win32\matlab.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\859.exe','');
QuarantineFile('C:\c2.exe','');
QuarantineFile('C:\WINDOWS\sysmngsr32.exe','');
DeleteFile('C:\WINDOWS\sysmngsr32.exe');
DeleteFile('C:\c2.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\859.exe');
DeleteFile('c:\windows\sysmngsr322.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe');
DeleteFile('C:\WINDOWS\sysmngsr322.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\htdschk.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив прикрепите к этой теме. (инструкция)
Пофиксить в HijackThis следующие строчки
Код:
O18 - Protocol hijack: call - {AC3731EB-E738-4AEE-823A-A4B21EB6031B}Добавлено через 2 часа 25 минут 49 секунд
Повторите логи для контроля удаления зловреда.
Повторяю...
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Упертый какой.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Инструкция
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."
Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\sysmngsr322.exe');
DeleteFile('c:\windows\sysmngsr322.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2560695694-1069348493-164887295-1611\mwau.exe');
DeleteFile('C:\WINDOWS\sysmngsr322.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Инструкция
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."
Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Проверьте на www.virustotal.com (результат сообщите)
c:\windows\system32\dllcache\user32.dll
Воспользуйтесь рекомендациями из этой темы для всех локальных дисков.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
И повторите в дополнение лог Gmer.
c:\windows\system32\dllcache\user32.dll
Воспользуйтесь рекомендациями из этой темы для всех локальных дисков.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\45.scr
c:\windows\system32\52.scr
c:\windows\system32\72.scr
c:\windows\system32\50.scr
c:\windows\system32\74.scr
c:\windows\system32\18.scr
c:\windows\system32\27.scr
Driver::
Folder::
Registry::
FileLook::
DirLook::Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ExecuteRepair(19);
end.И повторите в дополнение лог Gmer.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
И запустите cleanup.bat
Вот теперь я доволен.
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Что с проблемами?
Код:
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f781b0b2-60d3-11de-81cc-00137764ebd7}"
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3753050-fa04-11dd-b935-806d6172696f}"
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a544bc94-f9e0-11dd-80e1-00137764ebd7}"
gmer -rebootВот теперь я доволен.
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Что с проблемами?
Нод продолжает сообщать о заражении разных файлов. При этом дополнительная информация:
"Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\svchost.exe."
Или:
"Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe."
Последние действия пока не проделала
"Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\svchost.exe."
Или:
"Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe."
Последние действия пока не проделала
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Ничего вредоносного не вижу. Проверьте правила свое фаервола (возможно есть разрешающие для подозрительных соединений).
Проверьте систему cureit Если что-то найдет, сообщите.
Папки корзины почистили на всех локальных дисках?
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
Проверьте систему cureit Если что-то найдет, сообщите.
Папки корзины почистили на всех локальных дисках?
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
проверим на www.virustotal.com
C:\WINDOWS\system32\svchost.exe
c:\windows\system32\wbem\wmiapsrv.exe
Попробуйте настроить, воспользовавшись этой
C:\WINDOWS\system32\svchost.exe
c:\windows\system32\wbem\wmiapsrv.exe
Попробуйте настроить, воспользовавшись этой
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Ну, и как успехи в настройке фаервола?
Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.
Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
- Статус
Похожие темы
