umdmgr.exe и jjdriver.exe + многое другое

SiegKlaS · 30.05.2010, 23:18

Почти при каждой загрузке системы активируется umdmgr.exe и jjdriver.exe. Стоит Outpost Firewall Pro, он так же блокирует и показывает мне приложения которые пытаются активироваться. Пытался удалять вручную, не помогло, они прописывались снова. Помогите плиз

01pump · 30.05.2010, 23:22

SiegKlaS,

Или такие логи http://pchelpforum.ru/showpost.php?p=37758&postcount=1 или пролечиться этим http://pchelpforum.ru/showpost.php?p=69244&postcount=2

SiegKlaS · 31.05.2010, 00:48

01pump, уже делаю, немного тупанул

---------- Добавлено в 23:01 ---------- Предыдущее сообщение было написано в 22:24 ----------

http://exfile.ru/104626 - hijackthis.log
http://exfile.ru/104628- логи AVZ

---------- Добавлено в 23:48 ---------- Предыдущее сообщение было написано в 23:01 ----------

Жду ответа

winshelp · 31.05.2010, 01:12

SiegKlaS, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!

Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/
Профиксите в HiJackThis:

Код:

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [338] H:\WINDOWS\system32\umdmgr.exe
O4 - HKLM\..\Run: [928] H:\WINDOWS\system32\scdll.exe
O4 - HKLM\..\Run: [Microsoft Update Setup] H:\WINDOWS\jjdrive32.exe
O4 - HKLM\..\Run: [094] H:\WINDOWS\system32\umdmgr.exe
O4 - HKLM\..\Run: [838] H:\WINDOWS\system32\umdmgr.exe
O4 - HKLM\..\Run: [279] H:\WINDOWS\system32\scvdll.exe
O4 - HKLM\..\Run: [122] H:\WINDOWS\system32\umdmgr.exe
O4 - HKLM\..\Run: [987] H:\WINDOWS\system32\umdmgr.exe
O4 - HKLM\..\Run: [757] H:\WINDOWS\system32\umdmgr.exe

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('h:\windows\jjdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('H:\RECYCLER\S-1-5-21-5099578777-0737519719-447072380-3907\playncr.exe','');
QuarantineFile('h:\windows\jjdrive32.exe','');
QuarantineFile('H:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('H:\WINDOWS\system32\scvdll.exe','');
QuarantineFile('H:\WINDOWS\system32\scdll.exe','');
DeleteFile('H:\WINDOWS\system32\scdll.exe');
DeleteFile('H:\WINDOWS\system32\scvdll.exe'); 
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('H:\RECYCLER\S-1-5-21-5099578777-0737519719-447072380-3907\playncr.exe');
DeleteFile('h:\windows\jjdrive32.exe');
DeleteFile('H:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','338');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','094');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','838');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','122');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','987');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','757');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','928');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','279');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by

Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум

SiegKlaS · 31.05.2010, 12:32

http://exfile.ru/104716 вот ссылка
quarantine.zip отправил

01pump · 31.05.2010, 12:45

SiegKlaS,
Выполните сначала такой скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('H:\WINDOWS\system32\syre32.exe');
DeleteFile('H:\WINDOWS\ndll.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Затем после перезагрузки этот

Код:

var
 Lines : TStrings;
 i : integer;
begin
 Lines := TStringList.Create;
 SearchFiles('%system32%', '*.scr', Lines, true, false);
 for i:= 0 to Lines.Count-1 do
  AddToLog(Lines[i]+', Size='+inttostr(GetFileSize(Lines[i])));
 Lines.Free;
SaveLog(GetAVZDirectory + 'file.log');
end.

После выполнения скриптов:
Выполните в avz стандартный скрипт №2 (архив virusinfo_syscheck.zip ) так же пришлите лог files.log из папки avz. Еще выполните лог утилиты Hijackthis

SiegKlaS · 31.05.2010, 14:01

http://exfile.ru/104732 - files.log
как сделать второе немного не понял

01pump · 31.05.2010, 14:07

SiegKlaS,
Теперь выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip а так же сделайте по инструкции лог Hijackthis и пришлите его.

SiegKlaS · 31.05.2010, 14:54

http://exfile.ru/104747- лог Hijackthis
http://exfile.ru/104748- virusinfo_syscheck.zip

01pump · 31.05.2010, 14:58

SiegKlaS,

В логах ничего подозрительного.
Обязательно обновите вашу систему через Windows Update установив SP3 и все последующие заплатки.
Обновите браузер, adobe flash player и adobe reader

Если это не выполнить то через уязвимости системы вся эта нечисть прийдет к вам снова в гости на следующий день (уже на правах хозяев )

SiegKlaS · 31.05.2010, 15:11

спасибо вам большое

30.05.2010, 23:18	#1 (ссылка)
SiegKlaS Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	umdmgr.exe и jjdriver.exe + многое другое Почти при каждой загрузке системы активируется umdmgr.exe и jjdriver.exe. Стоит Outpost Firewall Pro, он так же блокирует и показывает мне приложения которые пытаются активироваться. Пытался удалять вручную, не помогло, они прописывались снова. Помогите плиз

31.05.2010, 12:45	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	SiegKlaS, Выполните сначала такой скрипт Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('H:\WINDOWS\system32\syre32.exe'); DeleteFile('H:\WINDOWS\ndll.exe'); ExecuteSysClean; RebootWindows(true); end. Затем после перезагрузки этот Код: var Lines : TStrings; i : integer; begin Lines := TStringList.Create; SearchFiles('%system32%', '.scr', Lines, true, false); for i:= 0 to Lines.Count-1 do AddToLog(Lines[i]+', Size='+inttostr(GetFileSize(Lines[i]))); Lines.Free; SaveLog(GetAVZDirectory + 'file.log'); end. После выполнения скриптов: Выполните в avz стандартный скрипт №2 (архив virusinfo_syscheck.zip ) так же пришлите лог files.log* из папки avz. Еще выполните лог утилиты Hijackthis

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
блок питания или что то другое?	солодун	Неисправности, настройка	5	04.01.2011 05:58
umdmgr.exe	Yankee	Безопасность	6	16.11.2010 19:53
Вирусы не дают житья. umdmgr, syre32 и тп	Murdoc	Безопасность	8	03.10.2010 15:16
Penetrator? KillFiles.904? или что то другое...	[ZOL]	Безопасность	7	08.09.2010 14:59
Penetrator? KillFiles.904? или что то другое...	[ZOL]	Windows XP	4	07.09.2010 22:13
Убиты все соответствия файлов и запускающих их программ, контекстное меню и многое др	Art_Cross	Безопасность	1	22.06.2010 19:10
Много процессов umdmgr.exe	Andrey874	Безопасность	28	04.05.2010 22:57
Жесткий дск неисправен или что то другое	Xander0292	Железо	3	22.02.2010 20:50
Сбои во многих играх, многое перепробывал...	Impulse	Игры	11	19.02.2010 21:57
Неисправен монитор или что другое?	awor	Неисправности, настройка	2	27.01.2010 19:43
Проблемы совместимости? Или что-то другое?	tomb434	Железо	5	12.03.2008 12:19
Прошивки для Siemens и многое другое Бесплатно.	dron_terror	Мобильные устройства	4	14.02.2008 03:02

30.05.2010, 23:22	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	SiegKlaS, Или такие логи http://pchelpforum.ru/showpost.php?p=37758&postcount=1 или пролечиться этим http://pchelpforum.ru/showpost.php?p=69244&postcount=2

31.05.2010, 00:48	#3 (ссылка)
SiegKlaS Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	01pump, уже делаю, немного тупанул ---------- Добавлено в 23:01 ---------- Предыдущее сообщение было написано в 22:24 ---------- http://exfile.ru/104626 - hijackthis.log http://exfile.ru/104628- логи AVZ ---------- Добавлено в 23:48 ---------- Предыдущее сообщение было написано в 23:01 ---------- Жду ответа

31.05.2010, 12:32	#5 (ссылка)
SiegKlaS Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	http://exfile.ru/104716 вот ссылка quarantine.zip отправил

31.05.2010, 14:01	#7 (ссылка)
SiegKlaS Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	http://exfile.ru/104732 - files.log как сделать второе немного не понял

31.05.2010, 14:07	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	SiegKlaS, Теперь выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip а так же сделайте по инструкции лог Hijackthis и пришлите его.

31.05.2010, 14:54	#9 (ссылка)
SiegKlaS Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	http://exfile.ru/104747- лог Hijackthis http://exfile.ru/104748- virusinfo_syscheck.zip

31.05.2010, 14:58	#10 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	SiegKlaS, В логах ничего подозрительного. Обязательно обновите вашу систему через Windows Update установив SP3 и все последующие заплатки. Обновите браузер, adobe flash player и adobe reader Если это не выполнить то через уязвимости системы вся эта нечисть прийдет к вам снова в гости на следующий день (уже на правах хозяев )

31.05.2010, 15:11	#11 (ссылка)
SiegKlaS Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	спасибо вам большое

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads