Показано с 1 по 19 из 19.

целая коллекция!!! (заявка № 55533)

  1. #1
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31

    Thumbs up целая коллекция!!!

    Началось с того, что при загрузке винды появилось окно примерно такого содержания:
    "у вас установлен нелицензионный windows,
    для продолжения работы вам надо ввести ключ.
    получить его можно отправив смс и т.д."
    и дальше ни чего.
    После были вскрыты пароли на аську и контакт.
    Аваст постоянно стал ругаться на разного рода троянов и т.д.

    Имя файла:
    D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\1I1ORU2R\brown[1].jpg

    Имя вируса:
    Win32:Trojan-gen {Other}

    Версия VPS:
    090917-0, 17.09.2009

    Имя файла:
    C:\b4v9m7s9p9i3.exe

    Имя вируса:
    Win32:Trojan-gen {Other}

    Версия VPS:
    090917-0, 17.09.2009

    так же на autorun.inf со всех носителей.

    Далее, после некоторого времени работы, стало выскакивать сообщение системы:
    "Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."

    и далее постоянно что то вылазит, даже после проверки и лечения предложенными вами (и нетолько) программами.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Признаков заражения в логах не видно.

    Очистите временные файлы IE через "Свойства обозревателя".

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O4 - HKLM\..\Run: [D:\WINDOWS\system32\kdtya.exe] D:\WINDOWS\system32\kdtya.exe
    Перезагрузите компьютер и повторите лог HijackThis.

    Рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    Если я правильно понял "повторите лог HijackThis" - это опять сделать в этой программе сканирование и передать вам файл hijackthis.log?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Именно так

  6. #5
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    ясно.
    только вот как мне установить SP3 и последующие обновления если у меня не лицензионный windows?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\WINDOWS\system32\drivers\dcin.exe','');
     DeleteFile('D:\WINDOWS\system32\drivers\dcin.exe');
     BC_ImportALL;
     BC_DeleteSvc('Microsoft Driver Setup');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится. Пофиксите Hijackthis (если останутся)
    Код:
    O4 - HKLM\..\Run: [Microsoft Driver Setup] D:\WINDOWS\system32\drivers\dcin.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] D:\WINDOWS\system32\drivers\dcin.exe
    Закачайте карантин по ссылке вверху страницы. Повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    почему-то virusinfo_syscure.zip и virusinfo_syscheck.zip отказались грузиться

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Цитата Сообщение от soeg Посмотреть сообщение
    почему-то virusinfo_syscure.zip и virusinfo_syscheck.zip отказались грузиться
    А вы старые логи с новыми не попутали?
    Что с проблемами?

  10. #9
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    да, логи старые были.
    аваст пока не ругался.
    а вот сообщение системы "Generic Host Process for Win32 Services - обнаружена ошибка." каждый раз появляется и после его появления отрубается звук.
    это меня очень печалит, т.к. я занимаюсь музыкой!
    а по поводу обновления до sp3, офф сайт microsoft отказал мне.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Почистите временные файлы интернета. Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('d:\windows\system32\drivers\zlbt.exe');
     QuarantineFile('D:\WINDOWS\System32\Drivers\a3nqsdif.SYS','');
     QuarantineFile('d:\windows\system32\drivers\zlbt.exe','');
     DeleteFile('d:\windows\system32\drivers\zlbt.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится. Закачайте карантин. Включите AVZPM, перезагрузитесь, сделайте новые логи

  12. #11
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    сделано

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Что с проблемами? Вам в этом списке все нужно? (ненужное можем отключить)
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >>  Разрешен автозапуск с HDD
     >>  Разрешен автозапуск с сетевых дисков
     >>  Разрешен автозапуск со сменных носителей

  14. #13
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

    если честно, я не совсем понимаю какие функции эти службы выполняют, но если их отключение не скажется на работе нужных мне программ(в основном это аудио редакторы и все что связано с аудио), то я не против их отключить!

    остальные точно можно отключить.

    Добавлено через 1 минуту

    проблемм, кроме сообщения "Generic Host Process for Win32 Services - обнаружена ошибка." пока не было.
    Последний раз редактировалось soeg; 27.09.2009 в 21:10. Причина: Добавлено

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Звук при этом по прежнему пропадает? Выполните рекомедации из первого сообщения http://virusinfo.info/showthread.php?t=3519. Сделайте еще такой лог http://virusinfo.info/showthread.php?t=40118

  16. #15
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    до этого запуска системы пропадал, в этот раз пока работает.
    вашу просьбу выполнил - автоматический сбор файлов для AVZ сделал и файл закачал.

  17. #16
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    чуть не забыл

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логе ничего плохого.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    11
    Вес репутации
    31
    Ясно.
    Огромное вам всем спасибо!!!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\windows\system32\drivers\dcin.exe - Trojan-Downloader.Win32.Pher.aqd ( DrWEB: BackDoor.IRC.Bot.142, BitDefender: Trojan.IRCBot.ZD, NOD32: Win32/IRCBot trojan )
      2. d:\windows\system32\drivers\zlbt.exe - Trojan-Downloader.Win32.Pher.apx ( DrWEB: BackDoor.IRC.Bot.142, NOD32: Win32/AutoRun.IRCBot.CZ worm )


  • Уважаемый(ая) soeg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Целая куча неудалимых вирусов
      От mm1234 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.07.2011, 11:25
    2. Очередная коллекция вирусов
      От loise в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 10.06.2011, 12:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01282 seconds with 16 queries