Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Вирус (заявка № 16535)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44

    Exclamation Вирус

    Здравствуйте. При загрузке windows у меня стали появляться сообщения о том что не допущен к выполнению код, содержащийся в svchost.exe (или что-то типа того). Я проверил комп антивирусом, нашёл и удалил файл c:\program files\internet explorer\SetupApi.dll (и в Опере аналогичный). После этого при запуске системы и после различных действий появляется сообщение "Ошибка в setupapi.dll", также ошибка в svchost.exe. Кроме того, при запуске появляется сообщение "Generic Host Process for Win32 Services вызвало проблему и требует завершения... Отправить отчёт?". Я нажимаю "не отправлять" и появляется сообщение, что через минуту система будет перезагружена. Вообще непонятно откуда берутся эти сообщения, в атозагрузке вроде не нашёл ничего лишнего. Помогите, пожалуйста, решить проблему.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    На время выполнения скрипта, отключитесь от сети, и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
     SetServiceStart('smtpdrv', 4);
    SetServiceStart('runtime2', 4);
     StopService('Ejo05');
     SetServiceStart('Ejo05', 4);
     SetServiceStart('Microsoft Internet Explorer', 4);
     BC_QrFile('C:\WINDOWS\system32\Drivers\Ejo05.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ejo05.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_qrSvc('runtime2');
     BC_qrSvc('Ejo05');
     BC_qrSvc('smtpdrv');
     BC_qrSvc('Microsoft Internet Explorer');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ejo05');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Microsoft Internet Explorer');
     BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=16535 , как написано в прил.3 правил, скачайте версию 2.02 Hijackthis по ссылке в правилах и повторите логи, начиная с п. 10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    Выполнил скрипт, повторил логи при отключённой сети и мониторе. Пока видимых изменений нет.
    Файл сохранён как080117_055557_virus_478f424d79cab.zipРазмер файла18824MD5e79226bb975dd8282773aa4d8bea8f0d
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ejo05', 'Start');
     RebootWindows(true); 
    end.
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo05.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ejo05.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Ejo05');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет непустой.
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    Выполнил скрипты, но карантин пустой (только ini-файлы).
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Один зловред упрямый остался, никак не удаляется...

    Попробуем такой скипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ejo05\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Ejo05.sys');
     BC_DeleteSvc('Ejo05');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Ejo05.sys');
     BC_DeleteSvc('symavc32');
     BC_DeleteSvc('smtpdrv');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки прикрепите файл boot_clr.log из папки с AVZ и повторите лог syscheck.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    Появился файл в карантине:
    Файл сохранён как 080117_070537_virus_478f52a1ccacf.zip

    Размер файла
    603

    MD5
    689dadf16a1daad9a5a95eadec5edd9a

    А может попробовать удалить эти файлы из Windows PE?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Отлично, наши победили! PE не нужен.

    В логах чисто.
    Рекомендуется отключить все что вам не нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Добавлено через 3 минуты

    Правда в карантин этот клоп так и не попал, хотя в ini-файле и в логе написано, что добавлен. Наверно, avira его прибила (ишь, на готовенькое-то )?
    Последний раз редактировалось Bratez; 17.01.2008 в 16:15. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    В логах чисто, но сообщения всё также появляются! Единственное, что изменилось - при нажатии "не отправлять отчёт" не появляется сообщение о перезагрузке... Сейчас проверил диск C: Avir'ой - ничего не найдено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Проверьте, присутствует ли файл C:\WINDOWS\system32\setupapi.dll ?
    Если нет - надо его восстановить из дистрибутива или скопировать с другого ПК.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    Да, этот файл присутствует

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Восстановление системы у вас включено (каюсь, не обратил внимание раньше) - отключите немедленно, а то восстановятся ваши зловреды!

    Для решения оставшейся проблемы предлагаю:

    1. Выполнить в консоли команду
    sfc /scannow
    Ее выполнение требует наличия в дисководе установочного диска вашей версии Windows.

    2. Установить пакет критических обновлений, вышедших после SP2. Скачать его можно тут: http://poleznosti.ru/soft/file_catal...20060821091454.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    Вы понимаете, я бы отключил восстановление, но дело в том, что попытка открыть свойства системы - это одно из тех действий, вместо которого вылетает ошибка setupapi
    Цитата Сообщение от Bratez Посмотреть сообщение
    Установить пакет критических обновлений
    У меня пиратский windows, эти обновления не заставят меня регистрироваться?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    Из этого места не должны заставить. Спецточка для таких.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    В общем, установил обновления. Установка закончилась сообщением, что система будет перезагружена через несколько секунд, это нормально? Сообщения теперь не появляются, но в настройки системы всё-равно зайти нельзя (или "открыть с помощью"). И это только видимые проблемы...

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Помогло?

  18. #17
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    AVZ => Файл => Мастер поиска и устранения проблем
    Проблемы не обнаружены

    Добавлено через 9 часов 19 минут

    Я так понимаю, вирусов нет, раз логи чистые? И своим антивирусом приверил все диски - ничего не найдено. Тогда как восстановить нормальную работоспособность системы? Какие для этого существуют универсальные способы (я просто не в курсе)?
    "sfc /scannow" и "AVZ => Файл => Мастер поиска и устранения проблем" не помогает.
    Последний раз редактировалось Змiй; 18.01.2008 в 20:49. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    Uppp..
    Ну так как всё-таки, может есть какие-нибудь проверенные программы для этого? Или теперь только windows переустанавливать? Реестр проверял - не помогло. В безопасном режиме кстати тоже самое.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Попробуйте такой скриптик:
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    36
    Вес репутации
    44
    А можно узнать, что делает этот код? В настройки после него всё также не зайти, но зато пропали обои с рабочего стола, в моём компьютере появился ярлык "веб-папки", изменилась конфигурация меню Пуск (из того, что я заметил)...

  • Уважаемый(ая) Змiй, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01611 seconds with 16 queries