Вин32\конфикер Х\ГЕН

Printable View

25.06.2009, 21:33
Neo-473

Вин32\конфикер Х\ГЕН

В общем лажа тут возникла.поставил винду новую качал всё весь софт что нужен.поставил антивир.начались проблемы(раньше небыло такого когда ставил винды).запарили win32\conficker X GEN(два разных червя)
видет их ток есет нод 32 верса 4.Постоянно.2 пути.Кстате другие проги их невидят(пользовался касперским и доктором вебом прогой как то на c называется забыл как)
с:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IES\H0GC3ES1\bczauri(1) и тут он находит переодически то X то GEN.
второй путь
с:\windows\sistem32\X вот он радимый.
Нод их видит в следствии порчи svchost.То есть он пишет что эти вирусы зафиксированны в процесс обращение в свсхост.При этом у меня напрочь отключается нед и виснет комп если я нажму отладка или завершение процесса(3 варианта нет)
26.06.2009, 00:10
thyrex

Такой лог предоставьте [url]http://virusinfo.info/showthread.php?t=40118[/url]
26.06.2009, 00:17
AndreyKa

И установите обновления безопасности на Windows.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
26.06.2009, 13:48
Neo-473

нашёл руткин в свсхост.проверку поставил вот лог.
акробат скачал пока не ставится попробую после перезагрузки компа поставить.а вот с обновлением безопасности напряг.Я незнаю как его поставить щас обновить но поставил автообновление в 2 часа(14:00)
26.06.2009, 13:53
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service cxmlwu
gmer.exe -del file "C:\WINDOWS\system32\jiaof.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cxmlwu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxmlwu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxmlwu"
gmer.exe -reboot[/code]И запустите cleanup.bat

Сделать новый лог gmer
26.06.2009, 14:21
Neo-473

как мне клинап.бат сделать?у меня расширение файла не показывает а если название такое сделать-только название файл блокнотом останется

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

а всё нашёл в неде

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

нефига не получилось он пишет ненаходит модуль jiaof.dll потом ненаходит другие модуля а потом комп перезагружается(сам по себе).Проверку ставить?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

он кстате устоновил акробат просто пришлось из другого места качать
26.06.2009, 14:23
thyrex

Перезагрузка прописана в скрипте
Новый лог делать в обязательном порядке.

P.S. Так и не понял, кто у Вас установил Acrobat...
26.06.2009, 14:51
Neo-473

9.1.0.RUS просто сначала качал с сайта софт как то так но устоновка не шла.скачал с другого сайта там устоновился.так что на мне верса 9.1
лог выложил

p.s.
компьютер устоновил акробат.просто скаченнного с другого сайта.так чуть понятнее?
26.06.2009, 15:56
thyrex

В логе чисто. Как ведет себя антивирус?
26.06.2009, 17:24
Neo-473

пока я вас ждал он нашёл файл Х в выше указаном пути(систем 32).свсхост вырубился снова(ещё до того как я лог вам отправил).гена пока невидно

[size="1"][color="#666686"][B][I]Добавлено через 1 час 13 минут[/I][/B][/color][/size]

эмм.тема типо закрыта?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

при проверке компа на вирусы он нашёл в том же месте(1 путь) файл только с другим название.там червь Х
26.06.2009, 18:50
pig

Ещё раз - где и что нашёл? Я Матрицу сквозь Сумрак плохо просекаю.
26.06.2009, 22:17
Neo-473

с:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IES\H0GC3ES1\ -здесь он нашёл вин32\конфикер.Х
с:\windows\system32\X -здесь он нашёл конфикер.Х

мне помогут ещё?или уже по максу помогли?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 8 минут[/I][/B][/color][/size]

хотя..антивирус при проверке компьютера стал реже находить вирусы.свсхост теперь не сразу выключается а долго держится с каждым разом дольше..
27.06.2009, 13:49
thyrex

[URL="http://virusinfo.info/showthread.php?t=10025"]Очистите мусор[/URL]
с:\windows\system32\X вручную разве не удаляется?
27.06.2009, 15:59
Neo-473

я его неуспеваю найти.Он нодом32 удаляется,а через определённое время - файл востонавливается

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

нод32 его активной защитой находит.
к тому же свсхост всё равно выключается
p.s.
за что нарушение?что я не так сделал?вроде правильно всё.
27.06.2009, 18:36
AndreyKa

[quote=Neo-473]Он нодом32 удаляется,а через определённое время - файл востонавливается
[/quote]
Значит, обновления безопасности на Windows не установленны.
27.06.2009, 19:38
Neo-473

а я незнаю как его устоновить.Автообновление не работает.а как по другому я незнаю
27.06.2009, 19:46
AndreyKa

[url]http://windowsupdate.microsoft.com[/url]
27.06.2009, 21:23
Neo-473

поставил обновление,незнаю работает ли..вроде свс не возникает

вроде всё работает.Вируса не обнаруживает нод32 уже 2 день.Походу дела всё прошло успешно.Большое спасибо!