Generic Host Process и как устранить дыры

**Bratez** · 20.10.2007, 16:58

Опять свежачок поймали

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
 QuarantineFile('C:\WINDOWS\s1428w32.dll','');
 QuarantineFile('c:\windows\tcpsvcs32.exe','');
 DeleteFile('c:\windows\tcpsvcs32.exe');
 DeleteFile('C:\WINDOWS\system32\msindeo.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки карантинчег - в студию

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**dron** · 27.10.2007, 19:26

У меня при запуске windows потоянно лезет табличка tcpsvcs32.exe, как ее удалить?

**V_Bond** · 27.10.2007, 19:44

новые логи где ?

**dron** · 28.10.2007, 12:20

Зачем логи? я удалил DeleteFile('c:\windows\tcpsvcs32.exe');
вот картинка

**Bratez** · 28.10.2007, 13:14

Пришлите карантин после скрипта из сообщения #41 и сделайте свежий комплект логов по правилам, а то ваше дело еще 2 недели тянуться будет.

**dron** · 28.10.2007, 16:02

я же вам присылал карантин(нажал вверху Прислать запрошенные файлы)
вот логи

**Bratez** · 28.10.2007, 16:32

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe tcpsvcs32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\msqgvqg.dll

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\msqgvqg.dll','');
DeleteFile('C:\WINDOWS\system32\msqgvqg.dll');
DeleteFile('C:\WINDOWS\system32\vtr.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\nibble.exe');
DeleteFile('C:\WINDOWS\s1428w32.dll');
BC_ImportALL;
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин.

Добавлено через 9 минут

Вот что у вас детектировалось:
nibble.exe - Backdoor.Win32.Agent.bxt
msindeo.dll - Trojan-Spy.Win32.Goldun.si
s1428w32.dll - Trojan-Spy.Win32.Small.ic
tcpsvcs32.exe - Trojan-PSW.Win32.LdPinch.dwn
Посмотрим, что на сей раз пришлете.
Что-то они на вашем компе как мухи плодятся. Интересно, у вас НОД обновляется или так для мебели стоит? Кстати, базам AVZ тоже две недели уже, надо обновить.
После указанных процедур логи сделайте еще раз.

**dron** · 28.10.2007, 17:32

Пофиксить в HijackThis не получается, нажимаю
Delete an NT Service и втавляю строку, пишит was not found

**V_Bond** · 28.10.2007, 17:38

какая строка не фиксится ?
выполняйте скрипт .... делайте новые логи ....

**Bratez** · 28.10.2007, 17:44

нажимаю Delete an NT Service и втавляю строку

Нужно всего лишь отметить указанные строки галками и нажать Fix Checked.

**dron** · 28.10.2007, 20:40

Сделал
У меня опять Explorer качает!!!
Nod32 обновил, все равно не справляется, какой антивирус(чтобы хорошо ловил) вы бы мне посоветовали?
Логи:

**V_Bond** · 28.10.2007, 21:04

выполните скрипт....

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи....

**drongo** · 29.10.2007, 01:16

Похоже вы перепутали карантин

Там вирус , который уже был удалён ранее-nibble.exe - Backdoor.Win32.Agent.bxt (kaspersky)

**dron** · 09.11.2007, 17:22

У меня опять вирусы, в инет постоянно что-то отправляют

**Bratez** · 09.11.2007, 17:29

1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\FDCDNT.SYS','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Пришлите карантин согласно приложению 3 правил.

**V_Bond** · 09.11.2007, 17:31

пофиксите ...

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

**dron** · 11.11.2007, 12:46

У меня появились такие вирусы, что я в папку не могу войти

**V_Bond** · 11.11.2007, 12:55

выполните скрипт ...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\dpseria.dll','');
 QuarantineFile('\SystemRoot\system32\drivers\klpbethp.dat','');
 QuarantineFile('klpbethp.dat','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**dron** · 11.11.2007, 13:09

Посмотрите последние логи вверху, у меня постоянно вылезает эта табличка и пишет ваш диск заполнен или скачайте обновление

**V_Bond** · 11.11.2007, 13:18

из попавших в карантин ...
C:\WINDOWS\system32\dpseria.dll -Trojan-Spy.Win32.BZub.Btx
выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\dpseria.dll');
 DeleteFile('\SystemRoot\system32\drivers\klpbethp.dat');     
 BC_ImportDeletedList;
 BC_DeleteSvc('kxyswutd');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ...