Показано с 1 по 18 из 18.

поимал Backdoor.Win32, теперь неработает(врёт) автоматическое обновление. (заявка № 31470)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31

    Thumbs down поимал Backdoor.Win32, теперь неработает(врёт) автоматическое обновление.

    Добрый вечер, есть подозрение на наличие вирусов...
    Еще давно скачал игру Euro Truck Simulator от СЮДА, вчера вспомнил про неё и решил установить, но установочник ни в какую нехотел открываться, тока с 5 раза запустился, установка прошла нормально, никах запросов оутпост не спрашивал, после установки в трее вылесло сообщение от Сист.Без. о том что отключено обновление.....
    Корочь, позже вылезло сообщение от нод32 "C:\WINDOWS\system32\drivers\etc\hosts Win32/Qhost троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\sdphost.exe."
    в процессах повисли 2 новых процесса, один отвечает за значок в трее системы безопасности, другой за что-то там какойто ввод текста ( ctfmon.exe, wscntfy.exe )
    Вот отчёт о файле sdphost.exe с virustotal.ру

    мне кажется заражён фаил wscntfy.exe, потому через центр обеспечения безопасности автоматическое обновление не включается, а в свойствах ситемы выбрано "включить обновление"
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\rtuf.exe','');
     DeleteFile('C:\WINDOWS\system32\rtuf.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    карантин прислал, вот новые логи..
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.i.com.ua/~video/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=:;gopher=:;;https=:;socks=:;
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe \s
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe','');
     DeleteFile('C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    карантин прислал, вот логи

    З.Ы. обновление так и не включается...
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Пуск/Выполнить... regedit
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
    экспортируйте, запакуйте, прикрепите к сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    вот фаил реестра
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    параметр ResetAU удалите

  10. #9
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    удалил, ребутнул, всё равно выдаёт:
    Центру обеспечения безопасности не удается изменить параметры автоматического обновления. Попробуйте изменить параметры, используя диалоговое окно "Система* в панели управления. На вкладке "Автоматическое обновление" выберите "Автоматически (рекомендуется) и щелкните "ОК".
    А в свойствах всё включено...

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    удалите все параметры кроме ConfigVer,AUOptions,ScheduledInstallDay,ScheduledI nstallTime
    перегрузитесь

  12. #11
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    удалил, перезагрузился, и опять ничего не изменилось..
    в реестре кроме тех значений которые я не удалял появился еще IncludeRecommendedUpdates

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Содержимое кода
    Код:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
    "NoAutoUpdate"=dword:00000000
    "AUOptions"=dword:00000005
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:00000011
    "RescheduleWaitTime"=dword:00000003
    "NoAutoRebootWithLoggedOnUsers"=dword:00000001
    "UseWUServer"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
    "AUOptions"=dword:00000002
    "AUState"=dword:00000002
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:0000000e
    "NextDetectionTime"="2008-10-04 06:19:18"
    "BalloonTime"="2008-09-25 15:06:01"
    "BalloonType"=dword:00000004
    "ConfigVer"=dword:00000001
    "ResetAU"=dword:00000001
    "OfflineDetectionPending"=dword:00000001
    "IncludeRecommendedUpdates"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect]
    "LastSuccessTime"="2008-10-03 11:34:21"
    "LastError"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Download]
    "LastError"=dword:00000000
    "LastSuccessTime"="2008-09-24 15:36:48"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install]
    "LastSuccessTime"="2008-09-25 15:05:47"
    "LastError"=dword:00000000
    сохраните в текстовом файле, сохраните его как 123.reg, запустите, перегрузитесь.

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    сделал, но сообщение всёравно появляется и через центр обеспнечения безопасности обновление не включается , но теперь в свойства-обновление нельзя отключить обновление ( недоступно для выбора )
    может дело в wscntfy.exe ?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    может дело в wscntfy.exe ?
    Этот файл управляет Центром Безопасности Виндовс (Windows Security Center).
    Пуск/Выполнить, набрать
    Код:
    net start wuaserv
    +ВВОД

  16. #15
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    на пол секунды появляется дос окно C:\WINDOWS\system32\net.exe с сообщением " не удалось ......" ( не успеваю прочитать или сделать скрин ) и закрывается


    я знаю для чего wscntfy.exe, прост я гдет читал что некоторые вирусы используют его для прикрытия и чтоб удалить вирус надо выгрузить этот прочесс.
    он не закрывается, и эта проблема появилась тогда, когда я поймал вирус
    Последний раз редактировалось Rene-gad; 06.10.2008 в 11:53.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    на пол секунды появляется дос окно C:\WINDOWS\system32\net.exe с сообщением " не удалось ......" ( не успеваю прочитать или сделать скрин ) и закрывается
    Хмм, значит не удается запустить службу.
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    я знаю для чего wscntfy.exe, прост я гдет читал что некоторые вирусы используют его для прикрытия
    Выполните замену системных файлов с помощью команды sfc /scannow: http://support.microsoft.com/?scid=k...10747&x=6&y=15

  18. #17
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    31
    замена не сработола/не помогла, поскоку у меня был диск сп2, а винда была обновлена до сп3.
    тему можно закрывать, переустановил винду поверх старой.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) -Vampir-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 22.07.2009, 22:31
    2. Автоматическое обновление
      От НАТАЛИ в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 07.11.2008, 23:16
    3. Автоматическое обновление.
      От PORSHEvchik в разделе Microsoft Windows
      Ответов: 10
      Последнее сообщение: 29.10.2008, 22:04
    4. Ответов: 4
      Последнее сообщение: 22.10.2008, 12:47
    5. Автоматическое Обновление и Ребут
      От Exxx в разделе Microsoft Windows
      Ответов: 5
      Последнее сообщение: 16.11.2007, 12:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00367 seconds with 22 queries