Показано с 1 по 16 из 16.

не могу разобраться с последствиями lich.exe (заявка № 15261)

  1. #1
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60

    Question не могу разобраться с последствиями lich.exe

    Всем доброго времени суток!
    Буду очень признателен, если кто-нить поможет разобраться с ситуацией:
    9 декабря с.г. в 13.26 МСК drweb (v.4.44) обнаружил заразу lich.sys. При этом компьютер ребутил чуть ли не каждую минуту. Безуспешно попытавшись "вылечить," затем "удалить", я переместил его в карантин. Просмотрев затем диск, я обнаружил там lich.exe, который также переместил в "infected". Затем, выполнив msconfig.exe, обнаружил в автозапуске службу ZZZsvc_lich, которую также запретил.
    Теперь при загрузке Windows XP SP1 компьютер ведет себя так:
    1. если включен модем ADSL (т.е есть связь с Интернетом), грузится почти все кроме DrWeb, ZoneAlarm Pro и почему-то звука. Компьютер при этом безбожно тормозит, панель быстрого запуска иногда виснет, а иногда - нет, по верещанию "винта" слышно, что идет какой-то процесс. (ориентировочно svchost.exe, т.к. в окошке диспетчера у меня их аж пять штук) Примерно через 10 минут вышеупомянутые объекты догружаются, о чем возвещает стандартный звук при загрузке Windows.
    2. если же модем не включен, то грузится все кроме звука,компьютер при этом также подтормаживает.
    В обоих случаях, DrWeb ничего больше не обнаруживает.
    От всей души пытался выполнить указанные в правилах скрипты, однако, при соблюдении всех необходимых условий, один из скриптов (пункт восемь правил) до конца не доходит: либо зависает AVZ (версия 4,29 с последним обновлением), либо компьютер и вовсе ребутится. Поэтому посылаю только два лога (пп.10 и 13 правил) Кстати, несмотря на отключенное восстановление системы, после каждого ребута выдается сообщение, дескать система восстановлена (?!!) после серьезной ошибки, и вся вышеуказанная байда повторяется снова и снова.
    Подскажите, плиз, выход (советы типа format C: не приветствуются: слишком много, долго и нудно придется восстанавливать :-( )
    Thanks...
    Вложения Вложения
    Последний раз редактировалось BitMan63; 14.12.2007 в 03:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrFile('C:\Windows\System32\DRIVERS\lstone2k.sys');
     BC_QrSvc('ZZZdrv_lich');
     BC_DeleteSvc('ZZZdrv_lich');
     BC_DeleteFile('C:\lich.sys');
    BC_Activate;
    SetServiceStart('DHCP', 2);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    скрипт выполнил, архив с карантином отправил. Изменений в клинической картине после ребута нет.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Куда делся из карантина C:\Windows\System32\DRIVERS\lstone2k.sys ?
    Пришлите его по правилам отдельно.

    Добавлено через 5 минут

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [ScanRegistry] C:\W
    Попробуйте переустановить Zone Alarm.
    Последний раз редактировалось Bratez; 14.12.2007 в 03:14. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    Отправил отдельно, хотя ума не приложу куда он делся из первого архива: у меня он находится в архиве вместе с тремя прочими ?!!!

    Добавлено через 21 минуту

    Цитата Сообщение от Bratez Посмотреть сообщение

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [ScanRegistry] C:\W
    Попробуйте переустановить Zone Alarm.
    Пофиксил, переустановил. Ни фи-га! Все так же, как и было :-(
    Последний раз редактировалось BitMan63; 14.12.2007 в 03:43. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    Думаю, представляет интерес лог HijackThis (см. присобаченный файл), сделанный во время примерно 10-ти минутного "таймаута" при загрузке ОС, описанного вверху темы.
    P.S. Что характерно, до выполнения рекомендованных Вами процедур не удавалось получить такой лог: HijackThis зависал, а сейчас - прошло!
    Вложения Вложения
    Errare humanum est...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    И в первом и во втором только ini-файл, в котором указано, что lstone2k.sys был успешно добавлен в карантин. Давайте попробуем еще раз:
    Код:
    begin
    ClearQuarantine;
    BC_QrFile('C:\Windows\System32\DRIVERS\lstone2k.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Выполнять скрипт и архивировать карантин без антивируса!
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    AVZ никак не хочет впихивать сам файл в архив - только ini! Пришлось пихать пинками. Антивирус DrWeb при вышеуказанных процедурах не выгружал, а просто приостанавливал мониторинг. Архив отправил.
    Errare humanum est...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Присланный файл чистый. Больше ничего подозрительного нет.

    Попробуйте воспользоваться этой утилитой:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
    (предварительно запишите настройки сетевых подключений, т.к. они будут сброшены. запустите программу и нажмите Fix).
    Не уверен, что поможет, но хуже не будет точно.

    Если проблема останется, сразу после появления панели задач запустите Пуск - Выполнить - services.msc и посмотрите, не висит ли какая-нибудь служба в состоянии "Запуск".
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Присланный файл чистый. Больше ничего подозрительного нет.

    Попробуйте воспользоваться этой утилитой:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
    (предварительно запишите настройки сетевых подключений, т.к. они будут сброшены. запустите программу и нажмите Fix).
    Не уверен, что поможет, но хуже не будет точно.

    Если проблема останется, сразу после появления панели задач запустите Пуск - Выполнить - services.msc и посмотрите, не висит ли какая-нибудь служба в состоянии "Запуск".
    Не знаю, помогла ли утилита или нет, но видимых изменений я не заметил. После ребута сразу по появлении панели задач сделал выполнение services.msc. В состоянии запуска была лишь служба терминалов. Я в свойствах отключил ее (а кому она на фиг нужна окромя зловредов?!), сделал "Применить", но эффекту - нуль! Еще перезагрузка: теперь в состоянии запуска служба обнаружения SSDP. Отключить и ее?
    Errare humanum est...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    SSDP тоже можно отключить, но это конечно не решит проблему...

    Думаю, вам надо взять дистрибутив XP с интегрированным SP2 и накатить поверх вашей в режиме обновления. Есть большая вероятность, что проблема исчезнет, + получаете столь необходимый вашей системе update.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение

    Думаю, вам надо взять дистрибутив XP с интегрированным SP2 и накатить поверх вашей в режиме обновления. Есть большая вероятность, что проблема исчезнет, + получаете столь необходимый вашей системе update.
    С большим удовольствием давным-давно сделал бы это, но почему-то на обоих моих компьютерах (конфигурация одинаковая и весьма старенькая: Celeron-1700,мамка Gygabyte 667, RAM 512K, HD 120Gb, GeForce 5200 128K) таким дистрибутивом ни черта не устанавливается: на обоих компьютерах совершенно в одинаковом месте процесс установки зависает окончательно и бесповоротно. При этом система еще не SP2, но уже и не SP1, причем обратно не откатывается, так что приходится переустановливать обратно SP1 со всеми вытекающими... Пробовал разные дистрибутивы из разных источников, но эффект -увы!- всегда один и тот же. Так что же, без переустановки не загрызем гадину?!
    Errare humanum est...

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    вам необходимо перешить биос .... прошивкой поновее ... и все получится (сп2 установится )...

  15. #14
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    возвращаюсь к своей проблеме:

    Цитата Сообщение от Bratez Посмотреть сообщение
    ...Думаю, вам надо взять дистрибутив XP с интегрированным SP2 и накатить поверх вашей в режиме обновления. Есть большая вероятность, что проблема исчезнет, + получаете столь необходимый вашей системе update.
    поскольку процесс этот трудо- и нерво- емкий, оставил это на посленовогодний отходняк
    Однако, просматривая между делом более поздние посты, я понял, что "не один во Вселенной": у очень многих "постирующих" те же симптомы: проблема со звуком; непонятные "тормоза", вызываемые каким-то кривым процессом svchost.exe (конкретно у меня с PID 1136, реже - 1144), оттягивающим на себя до 98% загрузки ЦП; неудаляемый обычными средствами раздел в системном реестре HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\LEGACY_ZZZ SVC_LICH и т.д.

    Может быть, у уважаемых аксакалов появились какие-либо более свежие мысли относительно моей ситуации?!
    Во всяком случае как минимум, как можно иным способом удалить означенную заразу из реестра, и будет ли от этого какая-нить польза?!
    Благодарю...
    Errare humanum est...

  16. #15
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    9
    Вес репутации
    60
    Удалил из системного реестра разделы ZZZSVC_LICH и ZZZDRV_LICH: они были созданы заразой в ветках HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
    В результате "таймаут" при запуске Windows (см.начало темы) уменьшился вдвое: с 10 мин до 5. По прошествии "таймаута" система работает безупречно вплоть до следующего включения компа или ребута.
    Что может быть еще?!!!
    Errare humanum est...

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) BitMan63, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не могу разобраться
      От Ivan K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.08.2010, 23:33
    2. Ответов: 16
      Последнее сообщение: 05.01.2010, 17:43
    3. Не могу cам разобраться.Помогите
      От gudge25 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 06.08.2009, 21:53
    4. Не могу разобраться помогите плз
      От Руслан1969 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.05.2009, 19:11
    5. Ответов: 4
      Последнее сообщение: 01.05.2009, 14:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00729 seconds with 20 queries