|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Процессы вида <числа>.exe |
|
|
Процессы вида <числа>.exe
|
|
Новый участник Сообщения: 5 |
У меня следующая проблема. Сначала в автозапуске появилась программа msvmiode.exe. Я сделал все, как это предлагалось в теме [решено] msvmiode.exe, msj.exe, Dc.exe, однако не помогло, процесс msvmiode.exe все равно иногда выскакивает в диспетчере. Также в процессах периодически появляются вида 103.exe 26.exe, и тому подобное. Надеюсь на Вашу помощь в решении проблемы.
|
|
|
Отправлено: 19:32, 08-12-2010 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Цитата MrEx:
Подготовьте логи AVZ и RSIT в соответствии с правилами |
|
|
------- Отправлено: 20:46, 08-12-2010 | #2 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Логи
|
|
Отправлено: 21:19, 08-12-2010 | #3 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать не могу что то прикрепить virusinfo_cure.zip. Может он потому что весит слишком много 2,5 мб?
|
|
Отправлено: 21:21, 08-12-2010 | #4 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать А вот разобрался, не тот файл
|
|
|
Отправлено: 21:25, 08-12-2010 | #5 |
|
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать • Выполните скрипт AVZ
Перед выполнением скрипта отключитесь от интернета и локальной сети, отключите защитное ПО (антивирус, файрволл)!!! AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\system32\61.exe');
QuarantineFile('C:\WINDOWS.0\system32\ChCfg.exe','');
QuarantineFile('C:\WINDOWS.0\nigzss.txt','');
QuarantineFile('C:\WINDOWS.0\system32\bvpw.exe','');
QuarantineFile('c:\windows.0\system32\61.exe','');
QuarantineFile('C:\WINDOWS.0\system32\02.exe','');
QuarantineFile('C:\WINDOWS.0\system32\03.exe','');
QuarantineFile('C:\WINDOWS.0\system32\10.exe','');
QuarantineFile('C:\WINDOWS.0\system32\12.exe','');
QuarantineFile('C:\WINDOWS.0\system32\13.exe','');
QuarantineFile('C:\WINDOWS.0\system32\18.exe','');
QuarantineFile('C:\WINDOWS.0\system32\22.exe','');
QuarantineFile('C:\WINDOWS.0\system32\23.exe','');
QuarantineFile('C:\WINDOWS.0\system32\24.exe','');
QuarantineFile('C:\WINDOWS.0\system32\25.exe','');
QuarantineFile('C:\WINDOWS.0\system32\26.exe','');
QuarantineFile('C:\WINDOWS.0\system32\28.exe','');
QuarantineFile('C:\WINDOWS.0\system32\30.exe','');
QuarantineFile('C:\WINDOWS.0\system32\32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\34.exe','');
QuarantineFile('C:\WINDOWS.0\system32\37.exe','');
QuarantineFile('C:\WINDOWS.0\system32\48.exe','');
QuarantineFile('C:\WINDOWS.0\system32\51.exe','');
QuarantineFile('C:\WINDOWS.0\system32\52.exe','');
QuarantineFile('C:\WINDOWS.0\system32\54.exe','');
QuarantineFile('C:\WINDOWS.0\system32\57.exe','');
QuarantineFile('C:\WINDOWS.0\system32\61.exe','');
QuarantineFile('C:\WINDOWS.0\system32\62.exe','');
QuarantineFile('C:\WINDOWS.0\system32\63.exe','');
QuarantineFile('C:\WINDOWS.0\system32\67.exe','');
QuarantineFile('C:\WINDOWS.0\system32\71.exe','');
QuarantineFile('C:\WINDOWS.0\system32\72.exe','');
QuarantineFile('C:\WINDOWS.0\system32\73.exe','');
QuarantineFile('C:\WINDOWS.0\system32\75.exe','');
QuarantineFile('C:\WINDOWS.0\system32\78.exe','');
QuarantineFile('C:\WINDOWS.0\system32\81.exe','');
QuarantineFile('C:\WINDOWS.0\system32\84.exe','');
QuarantineFile('C:\WINDOWS.0\system32\85.exe','');
QuarantineFile('C:\WINDOWS.0\system32\87.exe','');
QuarantineFile('C:\WINDOWS.0\system32\88.exe','');
QuarantineFile('C:\WINDOWS.0\system32\mini.exe','');
QuarantineFile('C:\WINDOWS.0\innounp.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Local Settings\Temporary Internet Files\Content.IE5\JCY8YSLH\93scdjdg[1].bh','');
QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS.0\cwdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0445825091-4605134564-836077120-6051\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3602203988-5519278700-887178979-4004\winmap.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\oekx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6437385211-9924855245-879295386-1337\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1009043433-7559330519-261145498-4563\winmap.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1009043433-7559330519-261145498-4563\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6437385211-9924855245-879295386-1337\syscr.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3602203988-5519278700-887178979-4004\winmap.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0445825091-4605134564-836077120-6051\syscr.exe');
DeleteFile('C:\WINDOWS.0\cwdrive32.exe');
DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Local Settings\Temporary Internet Files\Content.IE5\JCY8YSLH\93scdjdg[1].bh');
DeleteFile('C:\WINDOWS.0\innounp.exe');
DeleteFile('C:\WINDOWS.0\system32\mini.exe');
DeleteFile('C:\WINDOWS.0\system32\88.exe');
DeleteFile('C:\WINDOWS.0\system32\87.exe');
DeleteFile('C:\WINDOWS.0\system32\85.exe');
DeleteFile('C:\WINDOWS.0\system32\84.exe');
DeleteFile('C:\WINDOWS.0\system32\81.exe');
DeleteFile('C:\WINDOWS.0\system32\78.exe');
DeleteFile('C:\WINDOWS.0\system32\75.exe');
DeleteFile('C:\WINDOWS.0\system32\73.exe');
DeleteFile('C:\WINDOWS.0\system32\72.exe');
DeleteFile('C:\WINDOWS.0\system32\71.exe');
DeleteFile('C:\WINDOWS.0\system32\67.exe');
DeleteFile('C:\WINDOWS.0\system32\63.exe');
DeleteFile('C:\WINDOWS.0\system32\62.exe');
DeleteFile('C:\WINDOWS.0\system32\61.exe');
DeleteFile('C:\WINDOWS.0\system32\57.exe');
DeleteFile('C:\WINDOWS.0\system32\54.exe');
DeleteFile('C:\WINDOWS.0\system32\52.exe');
DeleteFile('C:\WINDOWS.0\system32\51.exe');
DeleteFile('C:\WINDOWS.0\system32\48.exe');
DeleteFile('C:\WINDOWS.0\system32\37.exe');
DeleteFile('C:\WINDOWS.0\system32\34.exe');
DeleteFile('C:\WINDOWS.0\system32\32.exe');
DeleteFile('C:\WINDOWS.0\system32\30.exe');
DeleteFile('C:\WINDOWS.0\system32\28.exe');
DeleteFile('C:\WINDOWS.0\system32\26.exe');
DeleteFile('C:\WINDOWS.0\system32\25.exe');
DeleteFile('C:\WINDOWS.0\system32\24.exe');
DeleteFile('C:\WINDOWS.0\system32\23.exe');
DeleteFile('C:\WINDOWS.0\system32\22.exe');
DeleteFile('C:\WINDOWS.0\system32\18.exe');
DeleteFile('C:\WINDOWS.0\system32\13.exe');
DeleteFile('C:\WINDOWS.0\system32\12.exe');
DeleteFile('C:\WINDOWS.0\system32\10.exe');
DeleteFile('C:\WINDOWS.0\system32\03.exe');
DeleteFile('C:\WINDOWS.0\system32\02.exe');
DeleteFile('c:\windows.0\system32\61.exe');
DeleteFile('C:\WINDOWS.0\system32\bvpw.exe');
DeleteFile('C:\WINDOWS.0\nigzss.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Сделайте повторные логи! Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Обновите Internet Explorer до восьмой версии даже если им не пользуетесь! Обновите Adobe Acrobat до актуальной версии или деинсталлируйте! |
|
------- Последний раз редактировалось zirreX, 09-12-2010 в 02:22. Отправлено: 00:33, 09-12-2010 | #6 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Вот логи после выполнения всех операций
|
|
Последний раз редактировалось MrEx, 09-12-2010 в 13:50. Отправлено: 13:36, 09-12-2010 | #7 |
|
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Отключите:
- Восстановление системы - Компьютер от интернета/локальной сети - Антивирус/Файерволл • Выполните скрипт AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows.0\system32\06.exe');
TerminateProcessByName('c:\docume~1\admin~1.mic\locals~1\temp\845.exe');
TerminateProcessByName('c:\recycler\s-1-5-21-1604747999-0250166729-974500019-0045\winmap.exe');
QuarantineFile('C:\WINDOWS.0\system32\drivers\tcpip.sys.bck','');
QuarantineFile('C:\System Volume Information\_restore{41690954-532C-4EA2-AE5F-B5C919618CFF}\RP8\A0022783.exe','');
QuarantineFile('C:\WINDOWS.0\system32\fgtu.exe','');
QuarantineFile('C:\WINDOWS.0\system32\mini.exe','');
QuarantineFile('c:\docume~1\admin~1.mic\locals~1\temp\845.exe','');
QuarantineFile('c:\windows.0\system32\06.exe','');
DeleteFile('c:\windows.0\system32\06.exe');
DeleteFile('c:\docume~1\admin~1.mic\locals~1\temp\845.exe');
DeleteFile('c:\recycler\s-1-5-21-1604747999-0250166729-974500019-0045\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1179468113-4794191960-730148227-1472\syscr.exe');
DeleteFile('C:\WINDOWS.0\system32\04.exe');
DeleteFile('C:\WINDOWS.0\system32\70.exe');
DeleteFile('C:\WINDOWS.0\system32\71.exe');
DeleteFile('C:\WINDOWS.0\system32\82.exe');
DeleteFile('C:\WINDOWS.0\system32\mini.exe');
DeleteFile('C:\WINDOWS.0\cfdrive32.exe');
DeleteFile('C:\System Volume Information\_restore{41690954-532C-4EA2-AE5F-B5C919618CFF}\RP8\A0022783.exe');
DeleteFile('C:\WINDOWS.0\system32\fgtu.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\oekx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
RebootWindows(true);
end.
После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Сделайте повторные логи AVZ и RSIT Сдедайте повторное сканирование MBAM и прикрепите лог. |
|
------- Отправлено: 15:41, 09-12-2010 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Подозрительные процессы svchost.exe | Palladiy | Лечение систем от вредоносных программ | 5 | 30-09-2010 23:14 | |
| Разное - После закрытия IE остаются процессы "iexplore.exe" | M1ndW0rk | Microsoft Windows 7 | 5 | 22-01-2010 00:42 | |
| [решено] Интересует куда делись Regedit.exe | NTSD.exe | NETSETUP.exe | TELNET.exe | Ricardo | Проект WinStyle | 11 | 30-07-2009 23:36 | |
| [решено] Откуда берутся rootkit-процессы вида sp??.sys | ShaRP | Лечение систем от вредоносных программ | 1 | 12-05-2008 16:39 | |
| Разное - Процессы defrag.exe и dfrgntfs.exe | garik2006 | Microsoft Windows 2000/XP | 6 | 20-11-2007 01:46 | |
|
|
Время: 10:31. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
