Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

неубиваемый процесс l33t.exe (заявка № 12948)

  1. #1
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34

    Thumbs down неубиваемый процесс l33t.exe

    Добрый день. Прошу помочь.
    Никак не могу убить вирус.

    Система: winXP sp2 лицензия
    Антивирус: nod32 (c последним обновлением)

    nod32 после каждой загрузки обнаруживает вирус, который идентифицирует как win32/TrojanDownloader.Agent.BRK троян

    в процессах после каждой перезагрузки появляется процесс l33t.exe

    Проблемы, которые доставляет: вырубило драйвера: сетевуху, аудиоустройства.
    Не могу соединиться по dialup-у... пишет ошибку 633. типа com1 уже используется...

    Систему сносить НЕЛЬЗЯ, иначе уже бы всё переустановил.

    ОЧЕНЬ прошу помочь в решении проблемы!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll','');
     QuarantineFile('C:\WINDOWS\system32\l33t.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    Карантин из сообщения уберите, его загружать по ссылке вверху темы.
    не понял...
    Всё... понял...
    Сделал...

    Добавлено через 5 минут

    Файл сохранён как 071005_040102_virus_4705fd4e60260.zip
    Размер файла 35598
    MD5 976508d76c46f8c6f1316e410b1994ae
    Последний раз редактировалось gomez; 05.10.2007 в 13:01. Причина: Добавлено

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll');
     DeleteFile('C:\WINDOWS\system32\l33t.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: bnreg - C:\WINDOWS\
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: bnreg - C:\WINDOWS\
    Как сделать это?
    Уже нашел... Делаю...

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34

    после перезагрузки процесс l33t.exe не появился :)

    после перезагрузки процесс l33t.exe не появился

    При сканировании AVZ откопал в папках /clent/ и /1/client/ пару файлов и поместил их в карантин.

    Дело в том, что это папки системы клиент-банк.

    Но с модемом осталась таже проблема... Не хочет соединяться... Пишет, что сom1 порт занят...
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    to Bratez...
    Какие теперь мои действия?
    Жду ответа.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    O23 - Service: l33t - Unknown owner - C:\WINDOWS\system32\l33t.exe (file missing)

    Вот это надо подчистить, желательно в защищ. режиме:
    Код:
    begin
     BC_DeleteSvc('l33t');
     BC_Activate;
     RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Упс! Упустили мы с вами важный момент - восстановление системы надо отключить, там могли остаться копии зловредов.

    2. Что-то новенькое в логах. Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\smh.dat','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.

    Добавлено через 1 минуту

    3. Пока мы будем карантин смотреть, подумайте, что вам реально нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Что не нужно - будем отключать.

    Добавлено через 2 минуты

    При сканировании AVZ откопал в папках /clent/ и /1/client/ пару файлов и поместил их в карантин.
    Дело в том, что это папки системы клиент-банк
    Помещение в карантин - это просто копирование, а не изъятие файла, так что за Банк-клиент не беспокойтесь.
    Последний раз редактировалось Bratez; 05.10.2007 в 14:19. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    Цитата Сообщение от PavelA Посмотреть сообщение
    O23 - Service: l33t - Unknown owner - C:\WINDOWS\system32\l33t.exe (file missing)

    Вот это надо подчистить, желательно в защищ. режиме:
    Код:
    begin
     BC_DeleteSvc('l33t');
     BC_Activate;
     RebootWindows(true);
    end.
    сделал

    Добавлено через 41 секунду

    Цитата Сообщение от Bratez Посмотреть сообщение
    1. Упс! Упустили мы с вами важный момент - восстановление системы надо отключить, там могли остаться копии зловредов.

    2. Что-то новенькое в логах. Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\smh.dat','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    сделал

    Добавлено через 44 секунды

    готово:
    Файл сохранён как 071005_052708_virus_4706117cee9e7.zip
    Размер файла 586
    MD5 631edaacc99b959afa3084b790c32b48

    Добавлено через 2 минуты

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) не нужно
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) не нужно
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) не нужно
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) не нужно
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) не нужно
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) не нужно
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM не нужно
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) нужно... Хотя не до конца понимаю что это...
    >> Безопасность: к ПК разрешен доступ анонимного пользователя нужно
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику не нужно
    Последний раз редактировалось gomez; 05.10.2007 в 14:29. Причина: Добавлено

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Файл в карантин не попал, хотя он однозначно существует.
    Попробуйте найти вручную C:\WINDOWS\system32\smh.dat.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    такого файла нет...

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    нужно... Хотя не до конца понимаю что это...
    Это значит, что зная ваш пароль администратора, можно по локалке открыть ваши диски. А если пароля Администратора нет, значит просто можно.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    понял... знасит НУЖНО

    Какие действия дальше?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Лишние сервисы отключаем скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Скрипт карантина из сообщения #10 выполните в безопасном режиме, может все-таки попадет (он там есть 100%).
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    Лишние сервисы отключаем скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Скрипт карантина из сообщения #10 выполните в безопасном режиме, может все-таки попадет (он там есть 100%).
    сделал

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Файл попал в карантин?
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    34
    по-моему нет... сделал всё как Вы и советовали в safe mode-е.

    Файл сохранён как 071005_060816_virus_47061b208f9da.zip
    Размер файла 586
    MD5 eda78e0c454a2a937fc012dd178dd7dc

    Добавлено через 2 минуты

    Для меня САМЫЙ главный вопрос... Почему может не работать dial-up?... Нужен для client-bank...
    Пишет ошибку 633, что com1 порт занят...
    переустановка драйвера модема и порта не помогла...
    Я думал, что проблема связана с вирусом...
    Что-нибудь вообще можно сделать?
    Последний раз редактировалось gomez; 05.10.2007 в 15:15. Причина: Добавлено

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Я тут погуглил... этот файл видимо от SuperUtilities, так что оставим его в покое. На этом наверно всё... Сделайте для контроля логи, начиная с п.10 правил.

    Добавлено через 2 минуты

    А SuperUtilities вы давно поставили? Его не было в первых логах...
    Последний раз редактировалось Bratez; 05.10.2007 в 15:23. Причина: Добавлено
    I am not young enough to know everything...

  • Уважаемый(ая) gomez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 05.04.2010, 01:30
    2. Ответов: 2
      Последнее сообщение: 01.04.2010, 17:49
    3. неубиваемый процесс
      От andyhera в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2009, 21:42
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:28
    5. "Неубиваемый" процесс IEXPLORE.EXE
      От Daime в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.02.2009, 16:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01470 seconds with 21 queries