Generic Host Process и как устранить дыры

Printable View

Показывать 40 сообщений этой темы на одной странице

02.01.2008, 14:04
dron

C:\Documents and Settings\Droncs\xXx.exe как его удалить все вирусы из-за него
02.01.2008, 14:08
V_Bond

логи сделайте .... подозрительный файлик пришлите согласно приложения 3 правил ...
02.01.2008, 14:13
dron

Помогите как избавиться от /index.htm : infected with Trojan.DownLoader.33840 на моем сайте
02.01.2008, 14:21
Макcим

Адрес сайта?
02.01.2008, 14:33
dron

zarabotok.my-page.ru
02.01.2008, 14:39
Макcим

Так там кроме вредоносного кода нет ни чего... Восстановите сайт с нуля.
02.01.2008, 14:44
dron

А как они появляются, эти вирусы сами по себе постоянно лезут? они что пароли мои узнали?
02.01.2008, 14:46
Макcим

[url]http://virusinfo.info/showthread.php?t=9116[/url]
02.01.2008, 16:47
dron

я прислал запршенный файл, посмотрите
02.01.2008, 16:56
Bratez

xXx.exe - [b]Trojan-PSW.Win32.LdPinch.euz[/b]
ieupdr2.exe - [b]Trojan-Downloader.Win32.Tiny.aff[/b]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Droncs\xXx.exe');
DeleteFile('C:\Documents and Settings\Droncs\Рабочий стол\ieupdr2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Пароли все надо менять!
Сделайте комплект логов по правилам, посмотрим, что там у вас еще есть ;)
02.01.2008, 17:05
dron

А вы увидели мои пароли? Почему avz не увидел эти файлы?
02.01.2008, 17:11
Bratez

Пароли ваши "увидел" пинч, поэтому и сайт оказался взломан.
AVZ не панацея. Но логи сделайте.
02.01.2008, 18:08
Макcим

[QUOTE=dron;166541]Почему avz не увидел эти файлы?[/QUOTE]Как это не "увидел"? По Вашему хелпер о них телепатией узнал?
02.01.2008, 20:49
dron

Я сам его в карантин и в архив запихал! Можно не скромный вопрос, а вы за свою работу деньги получаете?
02.01.2008, 20:50
Макcим

Какое это имеет значение?
04.01.2008, 19:32
dron

Я тоже хочу с вами работать! Посмотрите карантин, nod32 пишет что это черви
04.01.2008, 19:35
Макcим

[QUOTE=dron;167147]Я тоже хочу с вами работать![/QUOTE]Интересно, в каком качестве?
[QUOTE]Посмотрите карантин, nod32 пишет что это черви[/QUOTE]NOD прав.
04.01.2008, 19:43
dron

как их безопасно удалить?
04.01.2008, 19:45
Макcим

Скриптом AVZ. Скрипт мне написать или Вы сами справитесь? ;)
04.01.2008, 19:54
dron

Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
03.01.2008 14:11:22 AMON файл C:\WINDOWS\system32\ortyeras2d05-225f.sys Win32/Nuwar.BC червь Ошибка при удаление - файл заблокирован NT AUTHORITY\NETWORK SERVICE Событие при попытке доступа к файлу приложением C:\WINDOWS\system32\wbem\wmiprvse.exe.

Так???
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ortyeras2d05-225f.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
04.01.2008, 20:12
Макcим

Да.
06.01.2008, 13:04
dron

Помогите

Помогите пожалуйста:ohmy:
Когда я установил KAVP 6.0 и обновил его, он нашел какой-то вирус и сказал что нужно перезагрузить компьютер чтобы вирус удалился, после перезагрузки появляется ошибка
[QUOTE]STOP: c0000135{
} что-то не по нашему user32.dll и еще что-то не по нашему[/QUOTE]
Я сейчас сижу на этом же компьютере только с другого жесткого диска, не подскажете какие файлы нужно заменить чтобы нормально проходила загрузка?
06.01.2008, 15:34
Alex_Goodwin

Вам в помогите и логи сделайте.
06.01.2008, 16:15
Bratez

Раз на user32.dll ругается - попробуйте его заменить, а также winlogon.exe и userinit.exe, можно их скопировать с работающей системы.
08.01.2008, 21:59
dron

Спасибо справился!
Вот теперь проблема, появляется табличка:unsure:
08.01.2008, 22:21
V_Bond

ну явный зловред .... пришлите по правилам ....
и новые логи ...
09.01.2008, 14:55
dron

Прислал
09.01.2008, 15:07
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rsmyjpm.dll','');
QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd072219.exe','');
QuarantineFile('C:\DOCUME~1\Droncs\LOCALS~1\Temp\msgqueuelist.exe','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\system32\IGB_DJOL_1003.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\DOCUME~1\Droncs\LOCALS~1\Temp\msgqueuelist.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
10.01.2008, 19:16
dron

Я прислал карантин
10.01.2008, 19:56
V_Bond

[QUOTE=dron;170210]Я прислал карантин[/QUOTE]
посмотрел карантин ...
C:\WINDOWS\system32\rsmyjpm.dll чистый ...
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd072219.exe [B]TR/Spy.BZub.buz[/B]
C:\WINDOWS\System32\lanmandrv.sys [B]Trojan.LanMan[/B]
C:\WINDOWS\system32\IGB_DJOL_1003.dll [B]TR/Agent.7769[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd072219.exe');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\system32\IGB_DJOL_1003.dll');
BC_ImportDeletedList;
BC_DeleteSvc('lanmandrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
12.01.2008, 17:52
dron

Проверьте Логи и Карантин пожалуйста:rolleyes:
12.01.2008, 17:59
V_Bond

выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('vlidiyps');
DelBHO('{38A95CC6-8A73-4C46-852C-B81CDEAF5F54}');
QuarantineFile('D:\WINDOWS\system32\Drivers\hpvmqclo.dat','');
QuarantineFile('D:\WINDOWS\system32\clbcate.dll','');
DeleteFile('D:\WINDOWS\system32\clbcate.dll');
DeleteFile('D:\WINDOWS\system32\Drivers\hpvmqclo.dat');
BC_DeleteSvc('vlidiyps');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
29.01.2008, 17:05
dron

Trojan-Downloader.HTML.Agent.ij virus

а вот этот вирус [B]Trojan-PSW.Win32.LdPinch.euz [/B]каким образом нашел все мои ftp пароли, можно узнать?
29.01.2008, 17:22
Макcим

Примерно так [url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21780159[/url]
07.02.2008, 15:09
dron

rsmyjpm.dll все равно не исчезает(см рисунок выше)
07.02.2008, 15:35
Макcим

Чтобы не путать хелперов эту тему закрываем. В новой приложите три протокола по правилам.
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]12[/B][*]Обработано файлов: [B]94[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - [B]Hoax.Win32.Fera.i[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - [B]Trojan-Proxy.Win32.Xorpix.ck[/B] (DrWEB: BackDoor.Bech)[*] c:\\documents and settings\\droncs\\local settings\\temporary internet files\\content.ie5\\a3cr7ct8\\loader[1].exe - [B]Trojan-Downloader.Win32.Tiny.ly[/B] (DrWEB: Trojan.DownLoader.34714)[*] c:\\documents and settings\\droncs\\xxx.exe - [B]Trojan-PSW.Win32.LdPinch.euz[/B] (DrWEB: Trojan.Packed.194)[*] c:\\documents and settings\\droncs\\главное меню\\программы\\автозагрузка\\system.exe - [B]Hoax.Win32.Fera.i[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\documents and settings\\droncs\\рабочий стол\\ieupdr2.exe - [B]Trojan-Downloader.Win32.Tiny.aff[/B] (DrWEB: Trojan.DownLoader.38436)[*] c:\\docume~1\\droncs\\locals~1\\temp\\winsto.exe - [B]Trojan-Downloader.Win32.Suurch.bv[/B] (DrWEB: Trojan.DownLoader.38441)[*] c:\\windows\\joslujc.pif - [B]Trojan-Downloader.Win32.Tiny.ly[/B] (DrWEB: Trojan.DownLoader.34714)[*] c:\\windows\\nview.dll - [B]Backdoor.Win32.Agent.byy[/B] (DrWEB: BackDoor.Zapinit)[*] c:\\windows\\system32\\atrac.dll - [B]Trojan-Spy.Win32.BZub.btx[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\dpseria.dll - [B]Trojan-Spy.Win32.BZub.btx[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\hfkr4g.dll - [B]Trojan-Downloader.Win32.Small.hko[/B] (DrWEB: Trojan.DownLoader.38439)[*] c:\\windows\\system32\\igb_djol_1003.dll - [B]Trojan-GameThief.Win32.OnLineGames.ncd[/B] (DrWEB: Trojan.PWS.Wsgame.2782)[*] c:\\windows\\system32\\j8dj3jg.dll - [B]Trojan-Downloader.Win32.Small.hko[/B] (DrWEB: Trojan.DownLoader.38438)[*] c:\\windows\\system32\\lanmandrv.sys - [B]Rootkit.Win32.Agent.cvt[/B] (DrWEB: Trojan.NtRootKit.778)[*] c:\\windows\\system32\\msindeo.dll - [B]Trojan-Spy.Win32.Goldun.si[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\mssrv32.exe - [B]Trojan-Dropper.Win32.Agent.cls[/B] (DrWEB: Trojan.Packed.194)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.eo[/B] (DrWEB: Trojan.Proxy.2373)[*] c:\\windows\\system32\\ortyeras2d05-225f.sys - [B]Email-Worm.Win32.Zhelatin.pt[/B] (DrWEB: Trojan.Spambot.2386)[*] c:\\windows\\system32\\printer.exe - [B]Hoax.Win32.Fera.i[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\sulimo.dat - [B]Hoax.Win32.Renos.lq[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\winavxx.exe - [B]Hoax.Win32.Fera.i[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\s1428w32.dll - [B]Trojan-Spy.Win32.Small.ic[/B] (DrWEB: Trojan.Ftpspy)[*] c:\\windows\\tcpsvcs32.exe - [B]Trojan-PSW.Win32.LdPinch.dwn[/B] (DrWEB: Trojan.Packed.194)[*] d:\\windows\\system32\\clbcate.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.38058)[*] d:\\windows\\system32\\drivers\\hpvmqclo.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[/LIST][/LIST]

Показывать 40 сообщений этой темы на одной странице