Вин32\конфикер Х\ГЕН

**Neo-473** · 25.06.2009, 21:33

В общем лажа тут возникла.поставил винду новую качал всё весь софт что нужен.поставил антивир.начались проблемы(раньше небыло такого когда ставил винды).запарили win32\conficker X GEN(два разных червя)
видет их ток есет нод 32 верса 4.Постоянно.2 пути.Кстате другие проги их невидят(пользовался касперским и доктором вебом прогой как то на c называется забыл как)
с:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IES\H0GC3ES1\bczauri(1) и тут он находит переодически то X то GEN.
второй путь
с:\windows\sistem32\X вот он радимый.
Нод их видит в следствии порчи svchost.То есть он пишет что эти вирусы зафиксированны в процесс обращение в свсхост.При этом у меня напрочь отключается нед и виснет комп если я нажму отладка или завершение процесса(3 варианта нет)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 26.06.2009, 00:10

Такой лог предоставьте http://virusinfo.info/showthread.php?t=40118

**AndreyKa** · 26.06.2009, 00:17

И установите обновления безопасности на Windows.
Установите Adobe Acrobat Reader 9.1 или удалите старый.

**Neo-473** · 26.06.2009, 13:48

нашёл руткин в свсхост.проверку поставил вот лог.
акробат скачал пока не ставится попробую после перезагрузки компа поставить.а вот с обновлением безопасности напряг.Я незнаю как его поставить щас обновить но поставил автообновление в 2 часа(14:00)

**thyrex** · 26.06.2009, 13:53

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service cxmlwu
gmer.exe -del file "C:\WINDOWS\system32\jiaof.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cxmlwu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxmlwu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxmlwu"
gmer.exe -reboot

И запустите cleanup.bat

Сделать новый лог gmer

**Neo-473** · 26.06.2009, 14:21

как мне клинап.бат сделать?у меня расширение файла не показывает а если название такое сделать-только название файл блокнотом останется

Добавлено через 4 минуты

а всё нашёл в неде

Добавлено через 7 минут

нефига не получилось он пишет ненаходит модуль jiaof.dll потом ненаходит другие модуля а потом комп перезагружается(сам по себе).Проверку ставить?

Добавлено через 4 минуты

он кстате устоновил акробат просто пришлось из другого места качать

**thyrex** · 26.06.2009, 14:23

Перезагрузка прописана в скрипте
Новый лог делать в обязательном порядке.

P.S. Так и не понял, кто у Вас установил Acrobat...

**Neo-473** · 26.06.2009, 14:51

9.1.0.RUS просто сначала качал с сайта софт как то так но устоновка не шла.скачал с другого сайта там устоновился.так что на мне верса 9.1
лог выложил

p.s.
компьютер устоновил акробат.просто скаченнного с другого сайта.так чуть понятнее?

**thyrex** · 26.06.2009, 15:56

В логе чисто. Как ведет себя антивирус?

**Neo-473** · 26.06.2009, 17:24

пока я вас ждал он нашёл файл Х в выше указаном пути(систем 32).свсхост вырубился снова(ещё до того как я лог вам отправил).гена пока невидно

Добавлено через 1 час 13 минут

эмм.тема типо закрыта?

Добавлено через 12 минут

при проверке компа на вирусы он нашёл в том же месте(1 путь) файл только с другим название.там червь Х

**pig** · 26.06.2009, 18:50

Ещё раз - где и что нашёл? Я Матрицу сквозь Сумрак плохо просекаю.

**Neo-473** · 26.06.2009, 22:17

с:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IES\H0GC3ES1\ -здесь он нашёл вин32\конфикер.Х
с:\windows\system32\X -здесь он нашёл конфикер.Х

мне помогут ещё?или уже по максу помогли?

Добавлено через 2 часа 8 минут

хотя..антивирус при проверке компьютера стал реже находить вирусы.свсхост теперь не сразу выключается а долго держится с каждым разом дольше..

**thyrex** · 27.06.2009, 13:49

Очистите мусор
с:\windows\system32\X вручную разве не удаляется?

**Neo-473** · 27.06.2009, 15:59

я его неуспеваю найти.Он нодом32 удаляется,а через определённое время - файл востонавливается

Добавлено через 2 минуты

нод32 его активной защитой находит.
к тому же свсхост всё равно выключается
p.s.
за что нарушение?что я не так сделал?вроде правильно всё.

**AndreyKa** · 27.06.2009, 18:36

Сообщение от Neo-473

Он нодом32 удаляется,а через определённое время - файл востонавливается

Значит, обновления безопасности на Windows не установленны.

**Neo-473** · 27.06.2009, 19:38

а я незнаю как его устоновить.Автообновление не работает.а как по другому я незнаю

**AndreyKa** · 27.06.2009, 19:46

http://windowsupdate.microsoft.com

**Neo-473** · 27.06.2009, 21:23

поставил обновление,незнаю работает ли..вроде свс не возникает

вроде всё работает.Вируса не обнаруживает нод32 уже 2 день.Походу дела всё прошло успешно.Большое спасибо!