-
Junior Member
- Вес репутации
- 54
целая коллекция!!!
Началось с того, что при загрузке винды появилось окно примерно такого содержания:
"у вас установлен нелицензионный windows,
для продолжения работы вам надо ввести ключ.
получить его можно отправив смс и т.д."
и дальше ни чего.
После были вскрыты пароли на аську и контакт.
Аваст постоянно стал ругаться на разного рода троянов и т.д.
Имя файла:
D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\1I1ORU2R\brown[1].jpg
Имя вируса:
Win32:Trojan-gen {Other}
Версия VPS:
090917-0, 17.09.2009
Имя файла:
C:\b4v9m7s9p9i3.exe
Имя вируса:
Win32:Trojan-gen {Other}
Версия VPS:
090917-0, 17.09.2009
так же на autorun.inf со всех носителей.
Далее, после некоторого времени работы, стало выскакивать сообщение системы:
"Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."
и далее постоянно что то вылазит, даже после проверки и лечения предложенными вами (и нетолько) программами.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Признаков заражения в логах не видно.
Очистите временные файлы IE через "Свойства обозревателя".
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKLM\..\Run: [D:\WINDOWS\system32\kdtya.exe] D:\WINDOWS\system32\kdtya.exe
Перезагрузите компьютер и повторите лог HijackThis.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Если я правильно понял "повторите лог HijackThis" - это опять сделать в этой программе сканирование и передать вам файл hijackthis.log?
-
-
-
Junior Member
- Вес репутации
- 54
ясно.
только вот как мне установить SP3 и последующие обновления если у меня не лицензионный windows?
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\system32\drivers\dcin.exe','');
DeleteFile('D:\WINDOWS\system32\drivers\dcin.exe');
BC_ImportALL;
BC_DeleteSvc('Microsoft Driver Setup');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Пофиксите Hijackthis (если останутся)
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] D:\WINDOWS\system32\drivers\dcin.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] D:\WINDOWS\system32\drivers\dcin.exe
Закачайте карантин по ссылке вверху страницы. Повторите логи
-
-
Junior Member
- Вес репутации
- 54
почему-то virusinfo_syscure.zip и virusinfo_syscheck.zip отказались грузиться
-
Сообщение от
soeg
почему-то virusinfo_syscure.zip и virusinfo_syscheck.zip отказались грузиться
А вы старые логи с новыми не попутали?
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 54
да, логи старые были.
аваст пока не ругался.
а вот сообщение системы "Generic Host Process for Win32 Services - обнаружена ошибка." каждый раз появляется и после его появления отрубается звук.
это меня очень печалит, т.к. я занимаюсь музыкой!
а по поводу обновления до sp3, офф сайт microsoft отказал мне.
-
Почистите временные файлы интернета. Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\windows\system32\drivers\zlbt.exe');
QuarantineFile('D:\WINDOWS\System32\Drivers\a3nqsdif.SYS','');
QuarantineFile('d:\windows\system32\drivers\zlbt.exe','');
DeleteFile('d:\windows\system32\drivers\zlbt.exe');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Закачайте карантин. Включите AVZPM, перезагрузитесь, сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
-
Что с проблемами? Вам в этом списке все нужно? (ненужное можем отключить)
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
-
-
Junior Member
- Вес репутации
- 54
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
если честно, я не совсем понимаю какие функции эти службы выполняют, но если их отключение не скажется на работе нужных мне программ(в основном это аудио редакторы и все что связано с аудио), то я не против их отключить!
остальные точно можно отключить.
Добавлено через 1 минуту
проблемм, кроме сообщения "Generic Host Process for Win32 Services - обнаружена ошибка." пока не было.
Последний раз редактировалось soeg; 27.09.2009 в 22:10.
Причина: Добавлено
-
Звук при этом по прежнему пропадает? Выполните рекомедации из первого сообщения http://virusinfo.info/showthread.php?t=3519. Сделайте еще такой лог http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 54
до этого запуска системы пропадал, в этот раз пока работает.
вашу просьбу выполнил - автоматический сбор файлов для AVZ сделал и файл закачал.
-
Junior Member
- Вес репутации
- 54
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Ясно.
Огромное вам всем спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- d:\windows\system32\drivers\dcin.exe - Trojan-Downloader.Win32.Pher.aqd ( DrWEB: BackDoor.IRC.Bot.142, BitDefender: Trojan.IRCBot.ZD, NOD32: Win32/IRCBot trojan )
- d:\windows\system32\drivers\zlbt.exe - Trojan-Downloader.Win32.Pher.apx ( DrWEB: BackDoor.IRC.Bot.142, NOD32: Win32/AutoRun.IRCBot.CZ worm )
-