помогите пожалуйста

**HARD** · 04.02.2011, 12:25

столкнулся с такой проблемой: постоянно вылазит окно svchost.exe - ошибка приложения (Исключение unknown software exception (0x00000fd) в приложении по адресу 0x5bd687ad) и окно с завершением программы Generic Host Proccess for Windows32 Series, при его закрытии разрывается интернет. Dr Web показывает вот это постоянно C:\WINDOWS\system32\fewh.exe - инфицирован BackDoor.IRC.Sdbot.15548 C:\WINDOWS\system32\fewh.exe - инфицирован BackDoor.IRC.Sdbot.15548
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\21W9MTGF\282[1].gif - инфицирован BackDoor.IRC.Sdbot.15548 при попытке удаления окно исчезает, но потом снова появляется, может подскажете решение?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 04.02.2011, 12:44

Внимательно прочитайте и аккуратно выполните

**HARD** · 06.02.2011, 13:55

вот, сделал все как написано...

**polword** · 06.02.2011, 15:36

- выполните такой скрипт

Код:

begin
  QuarantineFile('C:\WINDOWS\system32\igfxdkc32.exe','');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

**HARD** · 07.02.2011, 09:59

не подскажете какой лучше файерволл установить?

Добавлено через 3 минуты

выполнил скрипт, как было указано выше, вот что получилось: Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\igfxdkc32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\igfxdkc32.exe)
Карантин с использованием прямого чтения - ошибка

**polword** · 07.02.2011, 13:00

поищите файл C:\WINDOWS\system32\igfxdkc32.exe, если найдете пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

**HARD** · 08.02.2011, 13:29

обновил систему, отправил файл в архиве, он был в папке Dr Web

**polword** · 08.02.2011, 14:00

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\igfxdkc32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

**HARD** · 09.02.2011, 08:13

файл igfxdkc32.exe находится в DrWeb\Infected.!!!, может по новой сделать скрипты по сбору информации?(virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log)?

**polword** · 09.02.2011, 08:25

Сообщение от polword

- Сделайте повторный лог virusinfo_syscheck.zip;

сделайте

**HARD** · 09.02.2011, 08:46

сделал

**polword** · 09.02.2011, 09:23

Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
 DeleteService('PlugPlayCM');
 DeleteFile('C:\WINDOWS\system32\serivces.exe');
 DeleteFile('C:\WINDOWS\system32\igfxdkc32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Intel Device Service'); BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;

**HARD** · 09.02.2011, 14:14

вот, все сделал, как сказали

**polword** · 09.02.2011, 14:17

что с проблемой?

**HARD** · 09.02.2011, 16:20

спасибо большое, проблема исчерпана. послежу, если что отпишу.

**CyberHelper** · 10.02.2011, 16:20

Статистика проведенного лечения:

Получено карантинов: 5
Обработано файлов: 23
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\алла\\local settings\\temp\\0.684311283097434.exe - Trojan.Win32.Lampa.vr ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KD.282647, AVAST4: Win32:Malware-gen )
2. c:\\windows\\apppatch\\pxvlhoi.dat - Backdoor.Win32.Shiz.dtj ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.653141, AVAST4: Win32:Malware-gen )
3. c:\\windows\\temp\\1cc.tmp - Trojan-Spy.Win32.Carberp.abk ( DrWEB: Trojan.Siggen2.42681, BitDefender: Gen:Variant.Kazy.25472, NOD32: Win32/TrojanDownloader.Carberp.X trojan, AVAST4: Win32:Carberp2 [Trj] )
4. c:\\windows\\temp\\32c.tmp - Trojan-Spy.Win32.Carberp.abk ( DrWEB: Trojan.Siggen2.42681, BitDefender: Gen:Variant.Kazy.25472, NOD32: Win32/TrojanDownloader.Carberp.X trojan, AVAST4: Win32:Carberp2 [Trj] )
5. \\igfxdkc32.exe.320a1743 - Net-Worm.Win32.Kolab.tee ( DrWEB: BackDoor.IRC.Bot.776, BitDefender: Trojan.Agent.ARDL, AVAST4: Win32:Downloader-FMS [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

помогите пожалуйста (заявка № 97273)

Опции темы

помогите пожалуйста

Итог лечения

Похожие темы

Помогите пожалуйста

Пожалуйста помогите вирусы у меня, трояны и тд.. пожалуйста!

Помогите пожалуйста, тема уже создавалась. Помогите плиз.

Помогите пожалуйста!

ПОЖАЛУЙСТА ПОМОГИТЕ

Ваши права в разделе