Junior Member
Вес репутации
61
Hidden object Процесс: C:\WINDOWS\system32\svchost
Здравствуйте. беда у меня, значит, такая. В последнее время (пара дней) появились симптомы:
1) при каждой загрузке системы, уже после приветствия и появления рабочего стола со значками, выскакивают одно за другим (с паузой в пару секунд) два досовских черных окошка с надписью в заголовках, оканчивающейся на Net.exe
2) Свежеустановленный 7-й Касперский начал регулярно ругаться на Hidden object Процесс: C:\WINDOWS\system32\svchost.exe
Не уверен, что два эти симптома связаны, но...
Словом, прошу помощи специалистов.
С уважением,
Дмитрий.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportDeletedList;
BC_DeleteSvc('msupdate');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ..
повторите логи...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\System32\Drivers\StarOpen.SYS','');
QuarantineFile('C:\Program Files\FileBX\FileBXH.dll','');
BC_ImportAll;
BC_ImportQuarantineList;
RebootWindows(true);
end.
Затем выполните этот скрипт и пришлите карантин согласно приложению 3 Правил
Junior Member
Вес репутации
61
После выполнения первого скрипта имеем:... (в аттаче)
PS Виден ли карантин.
Вложения
Попробуйте поискать через AVZ StarOpen.SYS и добавить в карантин... так он не попал
был удален c:\windows\system32\mssrv32.exe
Код:
AhnLab-V3 2007.11.6.0 2007.11.05 -
AntiVir 7.6.0.30 2007.11.05 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.05 Win32:Small-HZL
AVG 7.5.0.503 2007.11.05 Downloader.Obfuskated
BitDefender 7.2 2007.11.05 Trojan.AVKiller.AW
CAT-QuickHeal 9.00 2007.11.05 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.05 -
DrWeb 4.44.0.09170 2007.11.05 Trojan.MulDrop.8347
eSafe 7.0.15.0 2007.10.28 Suspicious File
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.05 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.05 -
F-Secure 6.70.13030.0 2007.11.05 -
Ikarus T3.1.1.12 2007.11.05 -
Kaspersky 7.0.0.125 2007.11.05 -
McAfee 5156 2007.11.05 Tcad-Crypted
Microsoft 1.2908 2007.11.05 TrojanDownloader:Win32/ Small.gen!AAM
NOD32v2 2637 2007.11.05 -
Norman 5.80.02 2007.11.05 -
Panda 9.0.0.4 2007.11.05 Suspicious file
Prevx1 V2 2007.11.05 -
Rising 20.17.01.00 2007.11.05 Trojan.DL.Win32.Small.fyn
Sophos 4.23.0 2007.11.05 Mal/Basine-C
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.05 -
TheHacker 6.2.9.116 2007.11.05 -
VBA32 3.12.2.4 2007.11.05 -
VirusBuster 4.3.26:9 2007.11.05 Trojan.DR.Dirat.Gen
Webwasher-Gateway 6.0.1 2007.11.05 Trojan.Crypt.XPACK.Gen
какие-то проблемы остались ?
Последний раз редактировалось V_Bond; 06.11.2007 в 00:08 .
Junior Member
Вес репутации
61
Сообщение от
V_Bond
c:\windows\system32\mssrv32.exe TR/Crypt.XPACK.Gen
больше ничего зловредного не вижу ...
А... Что мне с ним делать?
to rubin:
Я присылал карантин только после первого скрипта. сейчас вот пришлю после второго.
PS: Касперский ругаться перестал. Но вот досовские окна с заголовком типа C:\WINDOWS\system32\Net.exe по прежнему выскакивают.
Junior Member
Вес репутации
61
Сообщение от
rubin
Ждем...
Уже выслал.
у вас есть сеть .... ? в смысле локалка ?
Junior Member
Вес репутации
61
Сообщение от
V_Bond
у вас есть сеть .... ? в смысле локалка ?
В квартире - нет. А дальше... Провайдер Акадо (если это как-то поможет). Не VPN.
возможно работает скриптик для подключения сетевых дисков ...
Junior Member
Вес репутации
61
Гм... Черт его знает. Я никаких сетевых дисков не монтировал. Но мало ли... Может это быть как-то связано с источником бесперебойного питания?
Просто меня насторожили вот эти вот темки
http://www.xakep.ru/post/23662/default.asp
http://www.fssr.ru/hz.php?name=Forum...wtopic&t=13084
Сам я в сетевых этих темах полный ноль. Вот и паникую. Но уж лучше перепаеиковать, чем недопаниковать))
avz-сервис-менеджер автозапуска .... сохраните .... и отче присоедините к сообщению ...
Junior Member
Вес репутации
61
Сообщение от
V_Bond
avz-сервис-менеджер автозапуска .... сохраните .... и отче присоедините к сообщению ...
Сделано.
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.ab (DrWEB: Trojan.MulDrop.8347)