Периодические сообщения "исполняемый файл был изменён".

**alves** · 23.04.2009, 10:02

На компьютере установлен лицензионный антивирус Касперского (6.02), обновляется регулярно (1-3дня).
Примерно неделю назад, начали появляться сообщения антихакера «Исполняемый файл был изменён (spoolsv.exe;svchost.exe;smss.exe…) и много других. Нажимал кнопку – запретить. На каком-то запрете, комп завис. После перезагрузки начались сообщения «Исполняемый файл (spoolsv.exe;svchost.exe;smss.exe…) был изменён. Разрешить сетевой доступ?» Запрет доступа приводит к зависаниям или к перезагрузкам.
Последнее время постоянно выскакивает сообщение- «Потенциально опасное ПО Hidden object. C:\windows\system32\smss.exe Обнаружен скрытый процесс…….Который является результатом работы программ-маскировщиков (rootkit).»
Сегодня появлялось сообщение, что файл CmdMapping пытается изменить состав загружаемых модулей- запретил с созданием правила, наблюдал несколько повторных попыток.
Что делал:
1. Снял диск и проверил на «чистой» машине – были обнаружены несколько вирусов («Trojan-Downloader.JS.Agent.dxb`; Backdoor.Win32.Bifrose.ajzj`; Email-Worm.Win32.Dumaru.x`) , их удалил- вылечил. Не помогло.
2. Последовал инструкции Касперского по созданию аварийного СД_диска с помощью утилиты «PEBuilder», после загрузки с аварийного диска, при попытке проверить диск, получил сообщение- повреждены сигнатуры.
3. В защищённом режиме установил (скаченный на чистой машине), "AVPtool" и запустил проверку,- ничего не нашлось.
4. Запускал AVZ на лечение, не помогло.
5. Заменил файлы (svchost.exe, services.exe) с чистой системы, совсем удалил подозрительный файл mssrv32.exe – всё равно идут сообщения, что файлы (не только эти) изменены.
6. Высылаю 3 файла, согласно правилам форума. Пожалуйста помогите избавится от "чужих".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**light59** · 23.04.2009, 11:27

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_Importall;
 BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44372
Повторите логи по правилам.

**alves** · 23.04.2009, 18:04

Пофиксил, скрипт выполнил. Загрузка гораздо быстрее, сообщений пока нет. Зверь побеждён?

**light59** · 23.04.2009, 19:34

Больше ничего плохого
Установите Service Pack 3(может потребоваться активация) + последующие обновления.

**alves** · 24.04.2009, 08:54

Благодарю за помощь. 3-й пак, теперь поставлю обязательно.

**CyberHelper** · 25.04.2009, 08:54

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\services.exe - Email-Worm.Win32.Joleee.aes

Периодические сообщения "исполняемый файл был изменён". (заявка № 44372)

Опции темы