Показано с 1 по 18 из 18.

поимал Backdoor.Win32, теперь неработает(врёт) автоматическое обновление. (заявка № 31470)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58

    Thumbs down поимал Backdoor.Win32, теперь неработает(врёт) автоматическое обновление.

    Добрый вечер, есть подозрение на наличие вирусов...
    Еще давно скачал игру Euro Truck Simulator от СЮДА, вчера вспомнил про неё и решил установить, но установочник ни в какую нехотел открываться, тока с 5 раза запустился, установка прошла нормально, никах запросов оутпост не спрашивал, после установки в трее вылесло сообщение от Сист.Без. о том что отключено обновление.....
    Корочь, позже вылезло сообщение от нод32 "C:\WINDOWS\system32\drivers\etc\hosts Win32/Qhost троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\sdphost.exe."
    в процессах повисли 2 новых процесса, один отвечает за значок в трее системы безопасности, другой за что-то там какойто ввод текста ( ctfmon.exe, wscntfy.exe )
    Вот отчёт о файле sdphost.exe с virustotal.ру

    мне кажется заражён фаил wscntfy.exe, потому через центр обеспечения безопасности автоматическое обновление не включается, а в свойствах ситемы выбрано "включить обновление"
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\rtuf.exe','');
     DeleteFile('C:\WINDOWS\system32\rtuf.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    карантин прислал, вот новые логи..
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.i.com.ua/~video/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=:;gopher=:;;https=:;socks=:;
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe \s
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe','');
     DeleteFile('C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    карантин прислал, вот логи

    З.Ы. обновление так и не включается...
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пуск/Выполнить... regedit
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
    экспортируйте, запакуйте, прикрепите к сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    вот фаил реестра
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    параметр ResetAU удалите

  10. #9
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    удалил, ребутнул, всё равно выдаёт:
    Центру обеспечения безопасности не удается изменить параметры автоматического обновления. Попробуйте изменить параметры, используя диалоговое окно "Система* в панели управления. На вкладке "Автоматическое обновление" выберите "Автоматически (рекомендуется) и щелкните "ОК".
    А в свойствах всё включено...

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    удалите все параметры кроме ConfigVer,AUOptions,ScheduledInstallDay,ScheduledI nstallTime
    перегрузитесь

  12. #11
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    удалил, перезагрузился, и опять ничего не изменилось..
    в реестре кроме тех значений которые я не удалял появился еще IncludeRecommendedUpdates

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Содержимое кода
    Код:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
    "NoAutoUpdate"=dword:00000000
    "AUOptions"=dword:00000005
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:00000011
    "RescheduleWaitTime"=dword:00000003
    "NoAutoRebootWithLoggedOnUsers"=dword:00000001
    "UseWUServer"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
    "AUOptions"=dword:00000002
    "AUState"=dword:00000002
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:0000000e
    "NextDetectionTime"="2008-10-04 06:19:18"
    "BalloonTime"="2008-09-25 15:06:01"
    "BalloonType"=dword:00000004
    "ConfigVer"=dword:00000001
    "ResetAU"=dword:00000001
    "OfflineDetectionPending"=dword:00000001
    "IncludeRecommendedUpdates"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect]
    "LastSuccessTime"="2008-10-03 11:34:21"
    "LastError"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Download]
    "LastError"=dword:00000000
    "LastSuccessTime"="2008-09-24 15:36:48"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install]
    "LastSuccessTime"="2008-09-25 15:05:47"
    "LastError"=dword:00000000
    сохраните в текстовом файле, сохраните его как 123.reg, запустите, перегрузитесь.

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    сделал, но сообщение всёравно появляется и через центр обеспнечения безопасности обновление не включается , но теперь в свойства-обновление нельзя отключить обновление ( недоступно для выбора )
    может дело в wscntfy.exe ?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    может дело в wscntfy.exe ?
    Этот файл управляет Центром Безопасности Виндовс (Windows Security Center).
    Пуск/Выполнить, набрать
    Код:
    net start wuaserv
    +ВВОД

  16. #15
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    на пол секунды появляется дос окно C:\WINDOWS\system32\net.exe с сообщением " не удалось ......" ( не успеваю прочитать или сделать скрин ) и закрывается


    я знаю для чего wscntfy.exe, прост я гдет читал что некоторые вирусы используют его для прикрытия и чтоб удалить вирус надо выгрузить этот прочесс.
    он не закрывается, и эта проблема появилась тогда, когда я поймал вирус
    Последний раз редактировалось Rene-gad; 06.10.2008 в 11:53.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    на пол секунды появляется дос окно C:\WINDOWS\system32\net.exe с сообщением " не удалось ......" ( не успеваю прочитать или сделать скрин ) и закрывается
    Хмм, значит не удается запустить службу.
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    я знаю для чего wscntfy.exe, прост я гдет читал что некоторые вирусы используют его для прикрытия
    Выполните замену системных файлов с помощью команды sfc /scannow: http://support.microsoft.com/?scid=k...10747&x=6&y=15

  18. #17
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    замена не сработола/не помогла, поскоку у меня был диск сп2, а винда была обновлена до сп3.
    тему можно закрывать, переустановил винду поверх старой.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) -Vampir-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 22.07.2009, 22:31
    2. Автоматическое обновление
      От НАТАЛИ в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 07.11.2008, 23:16
    3. Автоматическое обновление.
      От PORSHEvchik в разделе Microsoft Windows
      Ответов: 10
      Последнее сообщение: 29.10.2008, 22:04
    4. Ответов: 4
      Последнее сообщение: 22.10.2008, 12:47
    5. Автоматическое Обновление и Ребут
      От Exxx в разделе Microsoft Windows
      Ответов: 5
      Последнее сообщение: 16.11.2007, 12:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01564 seconds with 20 queries