Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

неубиваемый процесс l33t.exe (заявка № 12948)

  1. #1
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61

    Thumbs down неубиваемый процесс l33t.exe

    Добрый день. Прошу помочь.
    Никак не могу убить вирус.

    Система: winXP sp2 лицензия
    Антивирус: nod32 (c последним обновлением)

    nod32 после каждой загрузки обнаруживает вирус, который идентифицирует как win32/TrojanDownloader.Agent.BRK троян

    в процессах после каждой перезагрузки появляется процесс l33t.exe

    Проблемы, которые доставляет: вырубило драйвера: сетевуху, аудиоустройства.
    Не могу соединиться по dialup-у... пишет ошибку 633. типа com1 уже используется...

    Систему сносить НЕЛЬЗЯ, иначе уже бы всё переустановил.

    ОЧЕНЬ прошу помочь в решении проблемы!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll','');
     QuarantineFile('C:\WINDOWS\system32\l33t.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Карантин из сообщения уберите, его загружать по ссылке вверху темы.
    не понял...
    Всё... понял...
    Сделал...

    Добавлено через 5 минут

    Файл сохранён как 071005_040102_virus_4705fd4e60260.zip
    Размер файла 35598
    MD5 976508d76c46f8c6f1316e410b1994ae
    Последний раз редактировалось gomez; 05.10.2007 в 13:01. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll');
     DeleteFile('C:\WINDOWS\system32\l33t.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: bnreg - C:\WINDOWS\
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: bnreg - C:\WINDOWS\
    Как сделать это?
    Уже нашел... Делаю...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61

    после перезагрузки процесс l33t.exe не появился :)

    после перезагрузки процесс l33t.exe не появился

    При сканировании AVZ откопал в папках /clent/ и /1/client/ пару файлов и поместил их в карантин.

    Дело в том, что это папки системы клиент-банк.

    Но с модемом осталась таже проблема... Не хочет соединяться... Пишет, что сom1 порт занят...
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    to Bratez...
    Какие теперь мои действия?
    Жду ответа.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    O23 - Service: l33t - Unknown owner - C:\WINDOWS\system32\l33t.exe (file missing)

    Вот это надо подчистить, желательно в защищ. режиме:
    Код:
    begin
     BC_DeleteSvc('l33t');
     BC_Activate;
     RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Упс! Упустили мы с вами важный момент - восстановление системы надо отключить, там могли остаться копии зловредов.

    2. Что-то новенькое в логах. Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\smh.dat','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.

    Добавлено через 1 минуту

    3. Пока мы будем карантин смотреть, подумайте, что вам реально нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Что не нужно - будем отключать.

    Добавлено через 2 минуты

    При сканировании AVZ откопал в папках /clent/ и /1/client/ пару файлов и поместил их в карантин.
    Дело в том, что это папки системы клиент-банк
    Помещение в карантин - это просто копирование, а не изъятие файла, так что за Банк-клиент не беспокойтесь.
    Последний раз редактировалось Bratez; 05.10.2007 в 14:19. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    Цитата Сообщение от PavelA Посмотреть сообщение
    O23 - Service: l33t - Unknown owner - C:\WINDOWS\system32\l33t.exe (file missing)

    Вот это надо подчистить, желательно в защищ. режиме:
    Код:
    begin
     BC_DeleteSvc('l33t');
     BC_Activate;
     RebootWindows(true);
    end.
    сделал

    Добавлено через 41 секунду

    Цитата Сообщение от Bratez Посмотреть сообщение
    1. Упс! Упустили мы с вами важный момент - восстановление системы надо отключить, там могли остаться копии зловредов.

    2. Что-то новенькое в логах. Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\smh.dat','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    сделал

    Добавлено через 44 секунды

    готово:
    Файл сохранён как 071005_052708_virus_4706117cee9e7.zip
    Размер файла 586
    MD5 631edaacc99b959afa3084b790c32b48

    Добавлено через 2 минуты

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) не нужно
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) не нужно
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) не нужно
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) не нужно
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) не нужно
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) не нужно
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM не нужно
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) нужно... Хотя не до конца понимаю что это...
    >> Безопасность: к ПК разрешен доступ анонимного пользователя нужно
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику не нужно
    Последний раз редактировалось gomez; 05.10.2007 в 14:29. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл в карантин не попал, хотя он однозначно существует.
    Попробуйте найти вручную C:\WINDOWS\system32\smh.dat.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    такого файла нет...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    нужно... Хотя не до конца понимаю что это...
    Это значит, что зная ваш пароль администратора, можно по локалке открыть ваши диски. А если пароля Администратора нет, значит просто можно.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    понял... знасит НУЖНО

    Какие действия дальше?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Лишние сервисы отключаем скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Скрипт карантина из сообщения #10 выполните в безопасном режиме, может все-таки попадет (он там есть 100%).
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Лишние сервисы отключаем скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Скрипт карантина из сообщения #10 выполните в безопасном режиме, может все-таки попадет (он там есть 100%).
    сделал

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл попал в карантин?
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    05.10.2007
    Сообщений
    22
    Вес репутации
    61
    по-моему нет... сделал всё как Вы и советовали в safe mode-е.

    Файл сохранён как 071005_060816_virus_47061b208f9da.zip
    Размер файла 586
    MD5 eda78e0c454a2a937fc012dd178dd7dc

    Добавлено через 2 минуты

    Для меня САМЫЙ главный вопрос... Почему может не работать dial-up?... Нужен для client-bank...
    Пишет ошибку 633, что com1 порт занят...
    переустановка драйвера модема и порта не помогла...
    Я думал, что проблема связана с вирусом...
    Что-нибудь вообще можно сделать?
    Последний раз редактировалось gomez; 05.10.2007 в 15:15. Причина: Добавлено

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Я тут погуглил... этот файл видимо от SuperUtilities, так что оставим его в покое. На этом наверно всё... Сделайте для контроля логи, начиная с п.10 правил.

    Добавлено через 2 минуты

    А SuperUtilities вы давно поставили? Его не было в первых логах...
    Последний раз редактировалось Bratez; 05.10.2007 в 15:23. Причина: Добавлено
    I am not young enough to know everything...

  • Уважаемый(ая) gomez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 05.04.2010, 01:30
    2. Ответов: 2
      Последнее сообщение: 01.04.2010, 17:49
    3. неубиваемый процесс
      От andyhera в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2009, 21:42
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:28
    5. "Неубиваемый" процесс IEXPLORE.EXE
      От Daime в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.02.2009, 16:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01332 seconds with 20 queries