Добрый день. Периодически касперский ловит C:\WINDOWS\SYSTEM32\Ms08nx.exe Backdoor.Win32.IRCBot.lgq и
C:\WINDOWS\SYSTEM32\Ms07.exe Backdoor.Win32.IRCBot.lgq. Удаляет их, иногда перезагружает систему, но через некоторое время снова их обнаруживает. Перед тем как касперский выдает сообщение об опасности в диспетчере задач появляется cmd.exe. При каждом событии добавляется новый cmd.exe, если их не завершать. Также иногда в диспетчере задач висит usb-mgr.exe, иногда он завершается с сообщением об ошибке(память не может быть written). С такой же ошибкой вылетает svchost.exe, если нажать ок, то интернет пропадает. Помогите пожалуйста. Спасибо
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
C:\WINDOWS\SYSTEM32\Ms07 больше не появляется, а C:\WINDOWS\SYSTEM32\Ms08nx по-прежнему дает о себе знать. usb_mgr.exe снова появился. svchost.exe также вылетает с ошибкой. Плюс к этому каспер начал ловить попытки скачать файлы с hxxxxxp://mobi-sys.ru/ls1.exe ( 22.07.2009 16:52:13 Обнаружено: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services hxxxxxp://mobi-sys.ru/ls1.exe). В c:/temp появляются exe-файлы, название которых состоит из трехзначных чисел (например 820.exe и 603.exe).
Последний раз редактировалось Rene-gad; 22.07.2009 в 21:45.
При попытке просканировать систему со всеми отмеченными галочками, на сканировании ветки Software\Microsoft\Windows Script Host\Settings ПК уходит в ребут(пробовал несколько раз). Поэтому сделал два лога: GMER.log - все галки, кроме "Registry", отмечены, GMER_reg.log - отмечено только "Registry". Также появилось два новых процесса: Msddrv42.exe и userinit.exe.
CureIT удалил usb_mgr.exe, Msddrv42.exe, TNS.exe и H@tKeysH@@k.DLL...во время проверки после удаления usb_mgr.exe в процессах сразу же появился userinit.exe. после проверки и удаления всего найденного вывелось сообщение о необходимости перезагрузки. После ребута usb_mgr.exe снова был впроцессах, но CureIT больше на него не ругается. Про кучу exe-файлов в темпах (трехзначное_число.exe) ничего не сказала ни первая ни второя утилита.
Добавлено через 4 минуты
Забыл сказать, что C:\WINDOWS\SYSTEM32\Ms08nx.exe
C:\WINDOWS\SYSTEM32\Ms07.exe также были удалены CureIT, но после ребута через некоторое время снова появляются в процессах
Последний раз редактировалось redF; 23.07.2009 в 23:26.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: