-
Junior Member
- Вес репутации
- 49
помогите пожалуйста
столкнулся с такой проблемой: постоянно вылазит окно svchost.exe - ошибка приложения (Исключение unknown software exception (0x00000fd) в приложении по адресу 0x5bd687ad) и окно с завершением программы Generic Host Proccess for Windows32 Series, при его закрытии разрывается интернет. Dr Web показывает вот это постоянно C:\WINDOWS\system32\fewh.exe - инфицирован BackDoor.IRC.Sdbot.15548 C:\WINDOWS\system32\fewh.exe - инфицирован BackDoor.IRC.Sdbot.15548
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\21W9MTGF\282[1].gif - инфицирован BackDoor.IRC.Sdbot.15548 при попытке удаления окно исчезает, но потом снова появляется, может подскажете решение?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 49
вот, сделал все как написано...
-
- выполните такой скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\system32\igfxdkc32.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 49
не подскажете какой лучше файерволл установить?
Добавлено через 3 минуты
выполнил скрипт, как было указано выше, вот что получилось: Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\igfxdkc32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\igfxdkc32.exe)
Карантин с использованием прямого чтения - ошибка
Последний раз редактировалось HARD; 07.02.2011 в 09:59.
Причина: Добавлено
-
поищите файл C:\WINDOWS\system32\igfxdkc32.exe, если найдете пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 49
обновил систему, отправил файл в архиве, он был в папке Dr Web
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\igfxdkc32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 49
файл igfxdkc32.exe находится в DrWeb\Infected.!!!, может по новой сделать скрипты по сбору информации?(virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log)?
-
Сообщение от
polword
- Сделайте повторный лог virusinfo_syscheck.zip;
сделайте
-
-
Junior Member
- Вес репутации
- 49
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
DeleteService('PlugPlayCM');
DeleteFile('C:\WINDOWS\system32\serivces.exe');
DeleteFile('C:\WINDOWS\system32\igfxdkc32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Intel Device Service'); BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 49
вот, все сделал, как сказали
-
-
-
Junior Member
- Вес репутации
- 49
спасибо большое, проблема исчерпана. послежу, если что отпишу.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\алла\\local settings\\temp\\0.684311283097434.exe - Trojan.Win32.Lampa.vr ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KD.282647, AVAST4: Win32:Malware-gen )
- c:\\windows\\apppatch\\pxvlhoi.dat - Backdoor.Win32.Shiz.dtj ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.653141, AVAST4: Win32:Malware-gen )
- c:\\windows\\temp\\1cc.tmp - Trojan-Spy.Win32.Carberp.abk ( DrWEB: Trojan.Siggen2.42681, BitDefender: Gen:Variant.Kazy.25472, NOD32: Win32/TrojanDownloader.Carberp.X trojan, AVAST4: Win32:Carberp2 [Trj] )
- c:\\windows\\temp\\32c.tmp - Trojan-Spy.Win32.Carberp.abk ( DrWEB: Trojan.Siggen2.42681, BitDefender: Gen:Variant.Kazy.25472, NOD32: Win32/TrojanDownloader.Carberp.X trojan, AVAST4: Win32:Carberp2 [Trj] )
- \\igfxdkc32.exe.320a1743 - Net-Worm.Win32.Kolab.tee ( DrWEB: BackDoor.IRC.Bot.776, BitDefender: Trojan.Agent.ARDL, AVAST4: Win32:Downloader-FMS [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-