Проблемы с Conficker.X

**Маяк** · 06.02.2009, 12:41

День добрый, недавно подхватил Conficker.X (Eset nod32 обнаружил C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YU8YTIJ8\xyqym[1].bmp Win32/Conficker.X червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe.), попытался лечить как в теме "Большие неудобства от Conficker", но сообщения о вирусе все равно появляются. Также видимо от вируса падает тема оформления, пропадает звук при просмотре видео и блокируется доступ в интернет. Надеюсь на вашу помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 06.02.2009, 12:43

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

**Маяк** · 06.02.2009, 12:54

ок

**Aleksandra** · 06.02.2009, 13:11

Пролечитесь http://www.kaspersky.ru/support/wks6...?qid=208636215

**Маяк** · 06.02.2009, 13:53

Установить патч, закрывающий уязвимость MS08-067. - скачал для SP2, т.к. для SP3 нет, патч не ставится, различие в языках. Менять язык через региональные стандарты в панели управления или что-то еще?

Добавлено через 5 минут

скачал Kidokiller, он ничего не нашел.как быть-то?

Добавлено через 24 минуты

патч, закрывающий уязвимость MS08-067 не нужен - стоит SP3, Kidokiller не нашел ничего, есть еще какие способы?

**Aleksandra** · 06.02.2009, 13:59

Сообщение от Маяк

Также видимо от вируса падает тема оформления, пропадает звук при просмотре видео и блокируется доступ в интернет.

Сейчас как с доступом?

**Маяк** · 06.02.2009, 14:15

все по-прежнему, вирус-то не найден все еще.только что падала система

**Aleksandra** · 06.02.2009, 14:48

Проблема в том, что в логах вируса не видно в явном виде.

Сообщение от Маяк

День добрый, недавно подхватил Conficker.X (Eset nod32 обнаружил C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YU8YTIJ8\xyqym[1].bmp

А еще на какой файл ругался NOD32?

**Маяк** · 06.02.2009, 15:03

директория абсолютно та же самая, различие лишь в имени после C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\

Добавлено через 1 минуту

там тоже набор букв, и и потом сам файл с расширением либо jpeg либо bmp

Добавлено через 1 минуту

svchost.exe, который в папке system32 часто простится соединиться с не пойми каким адресом

**rubin** · 06.02.2009, 16:10

C:\WINDOWS\system32\viwc.exe

пришлите по правилам

А кэш IE очистьте

**Маяк** · 06.02.2009, 16:21

кэш очистил, а viwc в парвилах не нашел как его прислать, подскажите

**rubin** · 06.02.2009, 16:28

Приложение 2. Поиск файлов при помощи AVZ.

1. Запустите AVZ, перейдите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Дальнейшие действия см. приложение 3.

Приложение 3. Как прислать запрошенные файлы.

1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте те файлы, которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.
4. Загрузите полученный архив, используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php, указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

http://virusinfo.info/showthread.php?t=1235

**Маяк** · 06.02.2009, 16:29

прислал, хотя и не совсем по правилам..

**rubin** · 06.02.2009, 16:36

это оказался Trojan.Win32.Agent2.cdb
выполните

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\viwc.exe');   
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

лог virusinfo_syscure повторите

**Маяк** · 06.02.2009, 16:36

переслал

**rubin** · 06.02.2009, 16:39

что переслали ?
нужны обычные логи после выполнения скрипта, логи прикрепить к сообщению

**Маяк** · 06.02.2009, 16:44

я про viwc написал, скоро лог пришлю

**Маяк** · 06.02.2009, 17:18

лог

**rubin** · 06.02.2009, 17:20

>> Таймаут завершения служб находится за пределами допустимых значений
>> Проводник - заблокирован доступ к свойствам папки

в АВЗ Файл - Мастер поиска и устранения проблем - можете исправить это

Какие еще проблемы остались ?

**Маяк** · 06.02.2009, 17:23

так, да вроде все чисто пока. От души благодарю

Проблемы с Conficker.X (заявка № 39111)

Опции темы

Проблемы с Conficker.X

Похожие темы

проблемы после conficker (заявка №26429)

Проблемы с Conficker, возможно не только

И снова он-Conficker.AA и новый Conficker.AE

Проблемы с Conficker.AA

Conficker.X & Conficker.AA на Windows 2000 server

Ваши права в разделе