|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Backdoor - windowsmngr.exe в папке - C:\Temp |
|
|
[решено] Backdoor - windowsmngr.exe в папке - C:\Temp
|
Новый участник Сообщения: 15 |
Профиль | Отправить PM | Цитировать
Здравствуйте, добавлю инфо того, чего нет в логах, о ОС и оборудовании:
- ОС установленная 20.08.2014 года (до недавнего момента работала нормально); - Работаю под встроенной учетной записью администратора. (Знаю, что глупо, раньше надоедал запрос на выполнение от имени администратора, так и привык работать во встроенной учетке чтобы было - без запросов); - Антивирусных программ не установлено; - В ноутбуке 2 жестких диска и два раздела: 1-й ssd – диск С под Windows.(С:\) 2-й SATA под остальные файлы.(D:\) Предпосылки к проблеме начались после установки и удалении игры GTA 5. Каждый раз после установки какой – либо программы захожу в AnVir Task Manager проверяю автозагрузку и процессы. Удалял GTA 5 и связанные с ней программы программой Revo Uninstaller pro c подчисткой остаточных файлов и очисткой реестра. Проблемы: 1) Когда ирга была установленная, пропала языковая панель. Восстановить не получалось, никакими методами. После удаления игры, помогло добавление ключа в реестр. Но и после этого бывает мигает (пропадет на 2 сек. и снова появляется). 2) Файл: steamwebhelper.exe (Клиент стим устанавливался с игрой) – не удаляется с автозагрузки и как не чистил разные папки и реестр, ничего не помогло. (Заново установить и удалить не пробовал). 3) Основная проблема, появление Файлов: windowsmngr.exe и win32.exe. Кажется после обновления Remote Manipulator System поверял автозагрузку и процессы в AnVir Task Manager, и заметил два новых файла, которые пытаются добавится в автозагрузку: windowsmngr.exe и win32.exe. Раньше их я не видел. Файл - windowsmngr.exe в папке - C:\Temp - после удаления возвращается. Удаление процесса скидывает систему в BSoD, с автозагрузки и с реестра не помогает, через безопасный режим тоже самое. Dr.Web CureIt(новая версия) видит их ка backdoor, при удалении с процессов или же доктором вебом пролечить, переименовать, удалить - win32.exe – скидает систему в BSoD c ошибкой: «0x000000f4 (0x0000000000000003, 0xfffffa8006dd7b30, 0xfffffa8006dd7e10, 0xfffff800041e5db0)» Последнее что пробовал установить программу SpyHunter_4.17.6.4336 для удаления Backdoor:MSIL/Bladabindi, но при запуске установочного файла система летит в BSoD (В архив с логами добавил 5 скриншотов, отчеты Dr.Web и скриншоты с AnVir Task Manager) Заранее большое спасибо! |
|
Отправлено: 06:03, 30-05-2015 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Прикрепите архив к сообщению через Расширенный режим.
|
------- Отправлено: 16:42, 02-06-2015 | #21 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать Немного не понял. У меня сумма всех вложений, принадлежащих NikolaySiyanko: 1022.0 Kb - что, больше не позволяет загружать файлы, или же я не знаю как. Поэтому и спрашивал: "Что делать, если объем вложений превышает допущенный объем?"
Ссылка на архив - "CollectionLog-2015.06.02-16.28.zip" https://drive.google.com/file/d/0B8g...ew?usp=sharing |
Отправлено: 18:11, 02-06-2015 | #22 |
Ветеран Сообщения: 1511
|
Профиль | Отправить PM | Цитировать 1) Включите восстановление системы.
2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
3) SpyHunter 4 - рекомендую деинсталировать. И установите антивирус. 4) Удалите из Хрома расширение Цитата:
begin DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); ExecuteRepair(9); ExpRegKey('hklm','SYSTEM\CurrentControlSet\Services\Eventlog\Kingsoft Internet Security\','Eventlog_Kingsoft Internet Security.txt'); RegKeyDel('hklm','SYSTEM\CurrentControlSet\Services\Eventlog\Kingsoft Internet Security'); RebootWindows(false); end. Логи загрузите сюда http://rghost.ru/ |
|
------- Отправлено: 19:12, 02-06-2015 | #23 |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать "1) Включите восстановление системы." - оно у меня включено только на диск: С.
"SpyHunter 4 - рекомендую деинсталировать. И установите антивирус." - его я сразу удалил, остались почему - то остатки. Их зачистил. С антивирусником сложнее дело. Пока пытаюсь разобраться почему он (Microsoft Security Essentials) не устанавливается и выбивает ошибку. "Удалите из Хрома расширение" - у меня нет такого расширения в хроме. Что это я не знаю, - единственное что знаю, так то, что папка находится -C:\FRST\Quarantine\C\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg\0.3.0.5_0 - эту папку создал Farbar Recovery Scan Tool - ее удалил После обновления баз AVZ, выполнение скрипта № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") - не вышло: "Выполняется стандартный скрипт: 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК Ошибка скрипта: ';' expected, позиция [9:1] " |
Отправлено: 20:52, 02-06-2015 | #24 |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать выполнил - "5) Выполните скрипт AVZ"
AutoLogger - http://rghost.ru/62vfY2Gjt MD5 - e9702bfce8b0f1ecb836b4578ce53c85 SHA1 - c03460b3337763b25bfe1ad9593422bb282c93f6 |
Отправлено: 21:15, 02-06-2015 | #25 |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать Что дальше делать? Закрывать как решенную или же нужно еще сканировать, в связи с ошибкой в AVZ, при выборе скрипта № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК")?
|
Отправлено: 06:11, 07-06-2015 | #26 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Система - Тысячи файлов tmp в папке temp | Shanks | Программное обеспечение Windows | 6 | 04-12-2014 17:18 | |
VBA - Архивирование папки в папке %temp% | Dark_Timur | Программирование и базы данных | 3 | 03-07-2012 13:42 | |
VBA - [решено] Создать папку в папке %TEMP% | Dark_Timur | Программирование и базы данных | 4 | 02-07-2012 00:52 | |
Профиль пользователя создается в папке Temp | XPurple | Microsoft Windows 2000/XP | 4 | 28-04-2007 11:19 |
|