Generic Host Process Win 32 подвешивает интернет, Аваст детектит Malware Gen и Rootkit gen

[amy]

Не могу скачать - "невозможно найти страницу".

[thyrex]

Ссылку поправил. Пробуйте

[amy]

Ну что могу сказать - SDFix скачалась, процесс провела, отчет прилагаю. Сразу же после перезагрузки комп выдал ошибку Explorer.exe и завис. При повторной перезагрузке включилась старая программка unwanted instance. Аваст при подключении сразу начинает орать по-прежнему.
Хочется вместе с ним кричать караул. Что же это??

[thyrex]

Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\dn.exe
C:\RECYCLER\S-1-5-21-7055939145-5488920317-248592092-4978\syscr.exe
C:\RECYCLER\S-1-5-21-6532602407-2266632215-195073066-5249\playncr.exe

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\dn.exe"=-
"c:\\WINDOWS\\system32\\dn.exe"=-

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[amy]

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\dn.exe moved successfully.
C:\RECYCLER\S-1-5-21-7055939145-5488920317-248592092-4978\syscr.exe moved successfully.
C:\RECYCLER\S-1-5-21-6532602407-2266632215-195073066-5249\playncr.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list\\C:\WINDOWS\sy stem32\dn.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list\\c:\\WINDOWS\\ system32\\dn.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 949937 bytes

User: Администратор
->Temp folder emptied: 15040348 bytes
->Temporary Internet Files folder emptied: 1393831 bytes
->Flash cache emptied: 784 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114294 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 19,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 05132010_222139

Добавлено через 1 минуту

Да, но компьютер при перезагрузке после выполнения этой операции завис и сам даже не выключился. А после включения - все та же unwanted instance и Аваст со своими Win32:Malware gen.

[thyrex]

Делайте новый лог ComboFix

[amy]

Сделала.

[thyrex]

Нужно срочно устанавливать обновления для системы, иначе лечиться будете до бесконечности

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\msvmcls64.exe
C:\ms.exe

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MS Virtual CLS"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[amy]

Все сделала, кроме новых патчей - что это и где взять?

[thyrex]

Все сделала, кроме новых патчей - что это и где взять?

http://update.microsoft.com

В логе ничего плохого не видно. Что с проблемой?

[amy]

Аваст при выходе в интернет орать перестал, но к сожалению, программка unwanted instance все равно запускается, дисковод 3.5 рычит и Generic Hosts тоже может ни с того, ни с сего выскочить.

[thyrex]

Обновления установили?

[amy]

По ссылке установилась Windows Genuine Advantage KB892130
Еще что-нибудь надо?
Кстати, Аваст опять обнаружил гадость - теперь новую: Alureon-GG и Trojan gen.

[thyrex]

По ссылке установилась Windows Genuine Advantage KB892130

Да там их немеряно этих обновлений, а Вы только одно установили

Делайте новые логи AVZ + ComboFix

[amy]

Я завтра уезжаю на две недели, так что видимо до конца сейчас процесс мы не доведем. Скажите лучше: а если ничего радикально так и не поможет - что, жесткий диск менять?

[thyrex]

А при чем здесь смена винчестера???

[amy]

А что делать, если с этим работать невозможно? Или вирусы где-то еще, не на нем?

[thyrex]

Вирусы в системе. Но менять из-за них винчестер - это круто.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 36
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\docume~1\9335~1\locals~1\temp\788.exe - Trojan-Proxy.Win32.Agent.ciy ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
  2. c:\recycler\s-1-5-21-3470484977-4172331039-145097354-2159\syscr.exe - P2P-Worm.Win32.Palevo.agfy ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.243243, AVAST4: Win32:Malware-gen )
  3. c:\recycler\s-1-5-21-4849103391-2635055441-558945159-4733\syscr.exe - P2P-Worm.Win32.Palevo.afys ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.11119, AVAST4: Win32:Malware-gen )
  4. c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.pbt ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.KillAV.RZ, AVAST4: Win32:Malware-gen )
  5. c:\windows\system32\instmtv.exe - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
  6. c:\windows\system32\msvmcls64.exe - Email-Flooder.Win32.Agent.cu ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Spammer.ACB, AVAST4: Win32:Malware-gen )
  7. c:\windows\system32\scdll.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
  8. c:\windows\system32\12.exe - P2P-Worm.Win32.Palevo.agfy ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:Malware-gen )
  9. c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.agfy ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.243243, AVAST4: Win32:Malware-gen )
  10. c:\windows\system32\28.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
  11. c:\windows\system32\60.exe - P2P-Worm.Win32.Palevo.afys ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.11119, AVAST4: Win32:Malware-gen )