Показано с 1 по 10 из 10.

Не могу вычистить (заявка № 24806)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    4
    Вес репутации
    58

    Exclamation Не могу вычистить

    В процессах висит много процессов service (причем завершаются все кроме одного), в профиле появляется svhost.exe, dll-ка (отправил на сайт), которая сканить нажатия клавы и мыши... Антивирус блокируется, даже AVZ не запускался, пока не переименовал...

    Через некоторое время после логина в систему, пропадает возможность что-либо запустить, ругается, что нет такого файла (хотя фактически конечно есть)...

    Сканирование и чистка ничего не дала: чего-то удаляет, чего-то ругает, требует перезагрузку, после которой снова тоже самое...

    Требуемые логи в аттаче.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\drivers\services.exe
    O4 - HKLM\..\Run: [[system]] C:\WINNT\system32\drivers\services.exe
    O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Корнева\svchost.exe
    O4 - HKCU\..\Run: [[system]] C:\WINNT\system32\drivers\services.exe
    O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Корнева\svchost.exe
    O4 - HKUS\.DEFAULT\..\Run: [[system]] C:\WINNT\system32\drivers\services.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [winlogon] C:\Documents and Settings\Default User\svchost.exe (User 'Default user')
    O4 - .DEFAULT Startup: userinit.exe (User 'Default user')
    O4 - .DEFAULT User Startup: userinit.exe (User 'Default user')
    O4 - Startup: userinit.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Default User\svchost.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     QuarantineFile('C:\WINNT\system32\drivers\fsfgin.sys','');
     QuarantineFile('C:\Documents and Settings\Корнева\ie_updates3r.exe','');
     QuarantineFile('C:\WINNT\system32\ftp34.dll','');
     QuarantineFile('C:\WINNT\system32\drivers\services.exe','');
     QuarantineFile('C:\WINNT\system32\basegqx32.dll','');
     QuarantineFile('C:\Documents and Settings\Корнева\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\Корнева\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\Корнева\ftp34.dll','');
     DeleteFile('C:\Documents and Settings\Корнева\ftp34.dll');
     DeleteFile('C:\Documents and Settings\Корнева\svchost.exe');
     DeleteFile('C:\Documents and Settings\Корнева\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\WINNT\system32\drivers\services.exe');
     DeleteFile('C:\WINNT\system32\ftp34.dll');
     DeleteFile('C:\Documents and Settings\Корнева\ie_updates3r.exe');
     DeleteFile('C:\WINNT\system32\drivers\fsfgin.sys');
     DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
     DeleteFile('C:\Documents and Settings\Default User\svchost.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-776561741-1606980848-854245398-1241\Dc5.EXE');
     DeleteFile('C:\RECYCLER\S-1-5-21-776561741-1606980848-854245398-1241\Dc6.EXE');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24806).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    4
    Вес репутации
    58
    Спасибо, вроде почистилось. Карантин отослал.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Пофиксите в HijackThis:
    Код:
    O4 - .DEFAULT Startup: userinit.exe (User 'Default user')
    O4 - .DEFAULT User Startup: userinit.exe (User 'Default user')
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINNT\system32\basegqx32.dll');
     BC_DeleteFile('C:\WINNT\system32\basegqx32.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    4
    Вес репутации
    58
    После выполнения скрипта, комп просто постоянно перегружается... Хоть в безопасном, хоть в обычном режимах..

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А!!!...
    Надо загрузиться с Live CD (или подцепить диск к другой машине) и скопировать C:\WINNT\system32\basesrv.dll на место удалённого C:\WINNT\system32\basegqx32.dll

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    На всякий случай уточню:
    Надо сделать копию файла C:\WINNT\system32\basesrv.dll в этой же папке, но под именем basegqx32.dll.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    4
    Вес репутации
    58
    На всякий случай уточню... Загрузиться с Live-CD и просто сделать копию имещегося файла в систем32 под другим именем?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Да, именно так.
    I am not young enough to know everything...

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\default user\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      2. c:\\documents and settings\\корнева\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)
      3. c:\\documents and settings\\корнева\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      4. c:\\documents and settings\\корнева\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      5. c:\\program files\\common files\\system\\apcsvra.dll - Trojan.Win32.Pakes.cot (DrWEB: Trojan.Inject.302
      6. c:\\winnt\\system32\\basegqx32.dll - Trojan.Win32.SubSys.eg (DrWEB: Trojan.Okuks.based)
      7. c:\\winnt\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      8. c:\\winnt\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)


  • Уважаемый(ая) syrus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не могу вычистить rootkit
      От arbitr в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.09.2009, 13:41
    2. Не могу очистить комп
      От vulture в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.09.2009, 17:56
    3. Не могу вычистить ноут
      От rux2 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.09.2009, 17:58
    4. Не могу вычистить комп
      От mike-d в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.07.2009, 08:11
    5. Не могу очистить систему
      От Translucent в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2009, 17:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00360 seconds with 18 queries