Показано с 1 по 17 из 17.

Generic Host Process жрет трафик (заявка № 20628)

  1. #1
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59

    Thumbs up Generic Host Process жрет трафик

    Доброго времени суток.
    Все началось с частых сообщений Аутпоста:
    "Предотвращена попытка изменения файлов Outpost Security Suite Pro.";
    "Приложение: Generic Host Process for Win32 Services, Путь: C:\WINDOWS\system32\svchost.exe"
    "Приложение: cssrss.exe, Путь: C:\WINDOWS\system32\cssrss.exe"
    Раздражало сильно, я сдуру и вырубил Аутпост. Все успокоилось, но скорость немного снизилась, а через несколько часов Инет совсем пропал, я сижу на GPRS от MTS раньше проблем таких не было. Оказалось деньги за трафик все и улетели. Посмотрите логи, плиз
    Так никаких денег не напасяшся Я в шоке

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    Чтото с первого раза не получилось логи прицепить
    Вложения Вложения
    Последний раз редактировалось anton_dr; 29.03.2008 в 11:28.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -уберите из сообщения карантин zip-файл virusinfo_cure.zip
    -выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll')
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR','');
     QuarantineFile('WDICA.sys','');
     DeleteFile('C:\WINDOWS\system32\WDICA.sys')
     TerminateProcessByName('c:\windows\system32\cssrss.exe');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Yks75.sys');
     BC_QrFile('C:\WINDOWS\system32\Filt\ASWFilt.dll');
     BC_DeleteFile('c:\windows\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ...после перезагрузки файлы пришлите по ссылке http://virusinfo.info/upload_virus.php?tid=20628

    Добавлено через 22 минуты

    -и повторите логи
    Последний раз редактировалось Alex Plutoff; 29.03.2008 в 05:49. Причина: Добавлено
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  5. #4
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    1. А как его убреш? Его там уже нет, а помню был

    2. Скрипт не выполняется, кричит чтото про ошибку, может я что не так делаю?
    Изображения Изображения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -да, есть такое дело... поправил

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR','');
     QuarantineFile('WDICA.sys','');
     TerminateProcessByName('c:\windows\system32\cssrss.exe');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Yks75.sys');
     BC_QrFile('C:\WINDOWS\system32\Filt\ASWFilt.dll');
     BC_DeleteFile('c:\windows\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  7. #6
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    И снова ничего не получилось
    Начинает выполняться, шустро так разные строчки в окошке пробигают, то красные, то черные, а потом - бац и все, висит, пишет Ошибка в работе антируткита [Range check error], шаг [11]

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать,меню,File,появится аналог проводника,найти:WLCtrl32.dll,Yks75.sys,правая кнопка мыши Force Delete.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Yks75\0000', 'CSConfigFlags', '1');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\Yks75.sys','');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
    QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll ',' ');
    QuarantineFile('c:\windows\system32\cssrss.exe','');
    DeleteFile('c:\windows\system32\cssrss.exe');
    DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
    BC_DeleteSvc('Yks75 ');
    DeleteFile('C:\WINDOWS\system32\Drivers\Yks75.sys');
    DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20628

    Повторите логи.
    Последний раз редактировалось Гриша; 29.03.2008 в 16:53.

  9. #8
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    Спасиб. Счас попробую.
    А я пока ждал следующего указания, запустил скрипт в Безопасном режиме, это не страшно? Может показать логи и карантин?

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Нет ничего страшного, но логи надежнее делать после "махания" самурайским мечем.
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    Цитата Сообщение от akoK Посмотреть сообщение
    Нет ничего страшного, но логи надежнее делать после "махания" самурайским мечем.
    И мечь щербатый не помог (и никакой он не самурайский а скорее альфийский )
    Стянул я 2,10 Метра этого IceSword122en, распаковал, запустил, нашол и удалил указанные WLCtrl32.dll,Yks75.sys
    Запускаю скрипт, а все как и прежне, все постарому
    Начинает выполняться, шустро строчкибигут и красные, и черные, а потом снова - бац и висит и пишет тоже самое: Ошибка в работе антируткита [Range check error], шаг [11]

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Мечь очень хороший,попробуйте без первой строчки после begin,посмотрим что получится.

  13. #12
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    Цитата Сообщение от Гриша Посмотреть сообщение
    Мечь очень хороший,попробуйте без первой строчки после begin,посмотрим что получится.
    Да, после удаления первой после begin строки, скрипт выполнился, комп перегрузился, но при новой загрузке снова выдал :
    "Предотвращена попытка изменения файлов Outpost Security Suite Pro.";
    "Приложение: Generic Host Process for Win32 Services, Путь: C:\WINDOWS\system32\svchost.exe"
    Кароче, вот новые логи, а карантин счас отправлю
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Все удалилось,в логах чисто.
    Карантин пустой.

    Пофиксить

    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

  15. #14
    Junior Member Репутация
    Регистрация
    29.03.2008
    Сообщений
    10
    Вес репутации
    59
    Огромное спасибо всему вашему проэкту! Нужное дело, товащи, делаете

    Пофиксил # 20. Снес нафиг этот глючный Аутпост вместе с его дырявым антивиром. Поставил Norton Internet Security 2008. Надеюсь с его помощю не буду больше вам тут голову морочить

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    зря вы так ... фаерволл у аутпоста весьма и весьма не плох ... иногда его бдительность похожа на параною ...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от V_Bond Посмотреть сообщение
    ... иногда его бдительность похожа на параною ...
    -угу, такое 'Ошибка в работе антируткита [Range check error], шаг [11]' я уже и раньше видел, причем, именно на машинах с файрволом от Agnitum (версии не помню, но не из ранних, уверен)
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 0
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Funt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 05.05.2012, 13:16
    2. Generic Host Process for Win32 Services кушает трафик
      От Chupak в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.11.2010, 17:16
    3. generic host process
      От Manager в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 10.03.2010, 22:21
    4. Generic host process
      От isbister в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.10.2009, 23:57
    5. Generic host process for....
      От andrelik в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.11.2008, 17:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01021 seconds with 20 queries