-
Junior Member
- Вес репутации
- 55
Появился betwinservicexp.exe
Здравствуйте.
Вчера компьютер сам по себе перезагрузился и после этого начал выдавать форму для ввода логина/пароля при входе. В процессах появился betwinservicexp.exe и mskpqewx.exe. Вчера пробовал раз пять проверять cureit в безопасном режиме. Иногда он находил что-то, иногда не успевал найти, но каждый раз процесс проверки зависал на разных файлах. Иногда не получалось войти в безопасный режим. Также после загрузки ОС (у меня win XP SP2) через некоторое время перестает работать антивирус (Eset smart security 5).
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ty1er, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
QuarantineFile('C:\WINDOWS\system32\mskpqewx.exe','');
QuarantineFile('c:\windows\system32\mskpqewx.exe','');
QuarantineFile('c:\documents and settings\all users\application data\mpk\mpk.exe','');
QuarantineFile('c:\windows\system32\betwinservicexp.exe','');
DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
DeleteFile('C:\WINDOWS\system32\mskpqewx.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил. Файл загрузил.
-
not-a-virus:Monitor.Win32.KGBSpy.qh
Это сами устанавливали?
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Nikkollo
not-a-virus:Monitor.Win32.KGBSpy.qh
Это сами устанавливали?
Я это не устанавливал, но троян с таким или похожим названием находил cureit
-
BeTwin Terminal Services
Тоже сами не устанавливали?
-
-
Junior Member
- Вес репутации
- 55
Нет.
BeTwin Terminal Services - betwinservicexp.exe это какой-то троян
-
Тогда всех под нож...
Пофиксите в HijackThis (как пофиксить):
Код:
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe,
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\mskpqewx.exe');
TerminateProcessByName('c:\documents and settings\all users\application data\mpk\mpk.exe');
TerminateProcessByName('c:\windows\system32\betwinservicexp.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\MPK\MPK.dll');
DeleteFile('C:\WINDOWS\system32\xtgina.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe');
DeleteFile('C:\WINDOWS\System32\BeTwinServiceXP.exe');
DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
DeleteFile('C:\WINDOWS\system32\mskpqewx.exe');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\MPK','*.*',true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\MPK');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Установите Service Pack 3(может потребоваться повторная активация):
http://www.microsoft.com/downloads/r...8-1e1555d4f3d4
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
-
-
Junior Member
- Вес репутации
- 55
Сделал. Только есть пару моментов:
1) Строки F2 - REG:system.ini: Shell=C:\windows\explorer.exe не было в HijackThis
2) После перезагрузки (после AVZ) получил сообщение
Ошибка пользовательского интерфейса.
Содержание окна:
Невозможно загрузить DLL xtgina.dll
пользовательского интерфейса входа
и чуть ниже кнопка перезагрузка
Сделал по этой инструкции _http://www.it-fm.ru/?p=1069
Помогло.
3) Если открыть диспетчер задач windows, в колонке "имя пользователя" ничего нет. Только SYSTEM напротив бездействие системы.
4) Eset через пару минут вылетает "Ошибка при обмене данными с ядром". Но это мб и не вирус
А так подозрительные процессы пропали, окно с логином/паролем исчезло.
hijackthis.log
virusinfo_syscheck.zip
-
Junior Member
- Вес репутации
- 55
Спасибо большое за помощь
-
Больше подозрений нет.
Смените пароль в WebMoney, а так же и все остальные (на вход в систему, почта, форумы, и т.д. и т.п).
-
-
Junior Member
- Вес репутации
- 55
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\mpk\\mpk.exe - not-a-virus:Monitor.Win32.KGBSpy.qh ( DrWEB: Program.KgbSpy.223, BitDefender: Trojan.Generic.KDV.376838 )
- c:\\windows\\system32\\machineupdate32.exe - Trojan.Win32.Menti.lpex ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Gen:Heur.Zygug.1, AVAST4: Win32:MalOb-KA [Cryp] )
- c:\\windows\\system32\\mskpqewx.exe - Trojan.Win32.Antavmu.rur ( DrWEB: Win32.HLLM.Limar.4165, BitDefender: Trojan.Generic.7269719, AVAST4: Win32:RDPdoor-B [Trj] )
- c:\\windows\\system32\\xtgina.dll - Trojan.Win32.FakeGina.ct ( DrWEB: Trojan.FakeGina.9, BitDefender: Trojan.Generic.KDV.521572 )
-