Здравствуйте.
Началось все с вторника (около того), я оставил комп на ночь, чтобы сжать кое-какие файлы, на утро я увидил, что произошла ошибка Generic Host Proccess for Win32 Services и как обычно две кнопки отправить и не отправлять. После этого все встало.Потом я заметил, что пропали имена пользователей рядом с процессами в "Диспетчере задач", решил проверить службы и увидил, что "Службы терминалов" выключенны, попробывал запустить, на что получил ответ "Cлyжбa "Cлyжбы тepминaлoв" нa "Лoкaльный кoмпьютep" былa зaпyщeнa и зaтeм ocтaнoвлeнa. Heкoтopыe cлyжбы aвтoмaтичecки ocтaнaвливaютcя, ecли им нeчeгo дeлaть, нaпpимep, cлyжбa жypнaлoв и oпoвeщeний пpoизвoдитeльнocти."
Сразу понял что-то не то происходит. Решил установить Pand'у, но после перезагрузки выдал ошибку "Невозможно прочитать память и ....". Потом появлялось окно с отсчетом времени с перезагрузкой (как это бывает если завершить svchost.exe). Даже в Безапасном режиме тоже самое было. После я запустил систему с последней точкой правильной работы системы. Удалил панду и поставил НОД32 и обновил базу, нашел червяк и пару троянов, все удалил, но всеравно имена возле процессов не появлялись и не удавалось вкл. службу терминалов. Дальше история продолжается, на следующий день svchost.exe стал грузить процессор на 100% и комп начал подвисать на некоторе время. Когда я завершал процесс нода32 тоже вис причем сразу. Удалил, нод32 все стало как прежде, но проблему с терминалом не решило.
Маленькое отступление: также я заметил, что пересатли работать STEAM игры и винамп, выдавая сообщение, что произошла ошибка, как и с Generic Host Proccess for Win32 Services. Только при выключении службы "Инcтpyмeнтapий yпpaвлeния Windows" они запускались. Дальше я удалил нод32 и поставил KAV последний (пробную версию) в ходе проверки антивирус обнаружил, что файл hosts - Host.Vulnerability и вылечил его, но при каждом новом входе в Виндовс он повторяет тоже самое и файл тот весит 8кб (в нем написаны адресса антивирусных сайтов). Дальше я решил обновится у Билла , т.к. Виндовс не лицензионный, пришлось сделать его таким))) Скачал обновелние SP3 около 65мб, установил перезагрузился и о чудо появились возле с процессами имена польз. и "служба заработала", дальше я решил еще обновится у того же Билла и закрыть другие уязвимости (около 36 штук).Установил и перезагрузился. После чего опять пропали имена ползователей и служба терминалов выдает тоже самое, что и раньше.
-------------------
Теперь даже незнаю, что и придумать есть идея поставить KIS и им проверить. А так вот файлы из AVZ и HijackThis
-----------------
Файл virusinfo_cure.zip оказался большим и не крепился к сообщению залил на народ: скачать
---------------
PS: Также заметно уменьшилась скорость инета.
PS2: Зарание спасибо
Добавлено через 5 минут
Что-то не удалось вложить файлы в первый пост
Последний раз редактировалось Xeo; 27.09.2008 в 01:55.
Причина: Добавлено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 27.09.2008 в 15:13.
Выполнил скрипт с сделал логи и отправил файлы из карантина. В диспетчере появились имена пользователей рядом с процессами и служба терминалов заработала .
Осталось одна проблема, которую так и не удалось решить с падением STEAM игр и Winamp'ом (который сначала не падал, первыми были STEAM игры). Помогает только отключение службы "Инcтpyмeнтapий yпpaвлeния Windows", но я незнаю как это сказывается на работе других приложений в том числе и инета, т.к. брандурмейкер виндовский не пашет (хотя я его и так выключаю).
Файл сохранён как 080927_083557_virus_48de36bda394e.zip
Размер файла 1633482
MD5 18ebfd52a727171f8fe78294dfa6d648
Последний раз редактировалось Xeo; 27.09.2008 в 17:36.
Но проблема не решена с падением STEAM игр и Winamp'ом (который сначала не падал, первыми были STEAM игры). Помогает только отключение службы "Инcтpyмeнтapий yпpaвлeния Windows". Еще заметил комп не перезагружается сам, а просто висит при надписи сохранение параметров, только мышка с тормозами двигается... Также смущают строки в AVZ :
Функция NtReplaceKey (C1) перехвачена (8064F0FA->B503DC12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Видимо придется выключить службу "Инcтpyмeнтapий yпpaвлeния Windows" больше никак
Добавлено через 2 часа 38 минут
Все заработало даже со службой. Пришлось поковырятся, чтобы все нормально работало. Большое спасибо за помощь! Как денежка будет поддержу проект...спасибо еще раз.
Последний раз редактировалось Xeo; 27.09.2008 в 22:40.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: