• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена sysmngsr322.exe Подскажите, пожалуйста, можно это как-то удалить???

Статус
В этой теме нельзя размещать новые ответы.

yuta666

Активный пользователь
Сообщения
16
Симпатии
0
#1
Вся информация в файле ниже. Сам вирус Nod32 не находит...
 

yuta666

Активный пользователь
Сообщения
16
Симпатии
0
#2
Прошу прощения, только заметила правила...:)
Как все сделаю, прикреплю все, что нужно
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#4
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('logon.scr','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\htdschk.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe','');
 QuarantineFile('c:\windows\sysmngsr322.exe','');
 QuarantineFile('c:\matlab6p5\bin\win32\matlab.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\859.exe','');
 QuarantineFile('C:\c2.exe','');
 QuarantineFile('C:\WINDOWS\sysmngsr32.exe','');
 DeleteFile('C:\WINDOWS\sysmngsr32.exe');
 DeleteFile('C:\c2.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\859.exe');
 DeleteFile('c:\windows\sysmngsr322.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2022359897-1332664038-183663993-7428\mwau.exe');
 DeleteFile('C:\WINDOWS\sysmngsr322.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\htdschk.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к этой теме. (инструкция)

Пофиксить в HijackThis следующие строчки
Код:
	O18 - Protocol hijack: call - {AC3731EB-E738-4AEE-823A-A4B21EB6031B}
Добавлено через 2 часа 25 минут 49 секунд
Повторите логи для контроля удаления зловреда.
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#6
Упертый какой.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\sysmngsr322.exe');
 DeleteFile('c:\windows\sysmngsr322.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2560695694-1069348493-164887295-1611\mwau.exe');
 DeleteFile('C:\WINDOWS\sysmngsr322.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Инструкция

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#8
Проверьте на www.virustotal.com (результат сообщите)

c:\windows\system32\dllcache\user32.dll

Воспользуйтесь рекомендациями из этой темы для всех локальных дисков.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\45.scr
c:\windows\system32\52.scr
c:\windows\system32\72.scr
c:\windows\system32\50.scr
c:\windows\system32\74.scr
c:\windows\system32\18.scr
c:\windows\system32\27.scr
Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteRepair(19);
end.
После выполнения скрипта компьютер перезагрузится.

И повторите в дополнение лог Gmer.
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#10
Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
Код:
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f781b0b2-60d3-11de-81cc-00137764ebd7}"
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3753050-fa04-11dd-b935-806d6172696f}"
gmer.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a544bc94-f9e0-11dd-80e1-00137764ebd7}"
gmer -reboot
И запустите cleanup.bat

Вот теперь я доволен.


Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Что с проблемами?
 

yuta666

Активный пользователь
Сообщения
16
Симпатии
0
#11
Нод продолжает сообщать о заражении разных файлов. При этом дополнительная информация:

"Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\svchost.exe."

Или:

"Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe."

Последние действия пока не проделала
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#12
Понятно. Сделайте мне, пожалуйста, лог AVZ(сейчас вышла новая версия AVZ 4.32). Скачайте новую версию Combofix и подготовьте его лог.
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#14
Ничего вредоносного не вижу. Проверьте правила свое фаервола (возможно есть разрешающие для подозрительных соединений).

Проверьте систему cureit Если что-то найдет, сообщите.

Папки корзины почистили на всех локальных дисках?

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
 

yuta666

Активный пользователь
Сообщения
16
Симпатии
0
#15
cureit ничего не нашел
А как проверить правила фаервола? :)
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#16
проверим на www.virustotal.com
C:\WINDOWS\system32\svchost.exe
c:\windows\system32\wbem\wmiapsrv.exe

Попробуйте настроить, воспользовавшись этой
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#18
Ну, и как успехи в настройке фаервола?


Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.
 

yuta666

Активный пользователь
Сообщения
16
Симпатии
0
#19
Что-то я не понимаю, как проверить, есть ли разрешающие правила для подозрительных соединений :mda: Я там что-то прикрепила...
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#20
Ничего не вижу.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

И повторите лог GSI.

Добавлено через 40 секунд
И повторите проверку MBAM.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу