rundll32.exe достал
Сабж. Запускается куча и не пропадает, пока руками не завершишь.
Из процесс експлорера:
Порождает их D:\WINDOWS\System32\svchost.exe -k netsvcs
Path: D:\WINDOWS\System32\rundll32.exe
CMD line: rundll32.exe zfyspqu.u,qrvnuvk (варьируется, rundll32.exe zfyspqu.u,mjynx или rundll32.exe zfyspqu.u,jbfau)
Что это такое?
Логи прилагаю.
ПС. АВЗ зачем-то убил альтернативный notepad.ехе, сказав, что это кейлоггер. Могу этот блокнот тоже приложить.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
s87ekhv удалил, сразу как логи запостил. Он, видимо, от какой-то заразы остался раньше. рундлл32 появляются...Сообщение от V_Bond
где они....
Перед повторными логами
Пофиксите в hijack
По симптомам похоже на то, что к Вам ломится КидоКод:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe O21 - SSODL: System - {8BFB3292-5AD6-45AD-BD91-32349C667819} - sysw.dll (file missing)
А вот система у Вас сплошное решето
Обновляться нужно. И чем быстрее, тем лучше для ВасPlatform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сейчас будут.
сделал, хотя параметр userinit просто был написан не заглавными буквам, ничего криминального...Пофиксите в hijack
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
заплатки MS08-068, MS09-001, MS08-067 стоят. СП3 чего нет, того нет...А вот система у Вас сплошное решето
Как узнать откуда? и уточнить, что это он?По симптомам похоже на то, что к Вам ломится Кидо
Последний раз редактировалось tu-104; 11.05.2010 в 07:53. Причина: логи
Лучше не уточнять откуда ломится Кидо, а обновлять систему
Пофиксите в HiJack
Больше плохого не видноКод:O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал, кроме SP3, все также.
Вот потому и
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
накатил вчера SP3, оставил на ночь.
сегодня опять эта хрень. (по времени показывает 21:41, в сети врядли кто-то еще был)
скрин с обновлениями. может еще чего?
Вы установили все обновления, вышедшие после SP3?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
нет. их куча
Включите автоматическое обновление и система сама все скачает
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово.
ну вот, все обновления с сайта установлены.
ВылеЗЛО снова.
Последний раз редактировалось tu-104; 15.07.2010 в 11:06.
- Сделайте лог MBAM
лог
1. удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\clinker.clinkerbho (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\clinker.clinkerbho.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{c1a4652d-4cbe-485a-92a0-bdec9def0e2b} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\AppID\{866e38f6-b2f5-4c0e-b0b9-54b7d5bb8651} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7bcfd25-5c30-4bcf-9483-6f151a54f7c9} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Зараженные файлы: D:\Documents and Settings\Владислав\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('D:\WINDOWS\system32\msconftb.sys',''); QuarantineFile('F:\work\Делфи\test\примеры, кнопки\FSG.EXE',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
готово.
:\work\Делфи\test\примеры, кнопки\FSG.EXE' - это упаковщик ЕХЕшников
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('D:\WINDOWS\system32\msconftb.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
стандартные логи.
это на целый день. к вечеру будет готово- Сделайте лог MBAM
+снова скрин rundll
+лог мвам
Последний раз редактировалось tu-104; 19.07.2010 в 08:42.
Уважаемый(ая) tu-104, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
