-
Junior Member
- Вес репутации
- 54
Backdoor,jeefo,neshta etc
завилась всякая гадость Backdoor,jeefo,neshta и другие. отрубают интернет,запускаю вредные системные задачи.компьютер зависает.Выдает так же ошибку Generic Host Process for Win32 Services,блокирует некоторые части сайта MS
За ранее спасибо, с уважением Григорий.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteAVUpdate;
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\msvddr32.exe','');
TerminateProcessByName('c:\windows\msvddr32.exe');
DeleteFile('c:\windows\msvddr32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('FCI');
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58412
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Карантин загрузил,ниже повторные логи
-
Junior Member
- Вес репутации
- 54
в vpn подключениях появился a-connect
Добавлено через 8 минут
Так же avz нашел trojan.win32.buzus.cizr
Добавлено через 33 минуты
так же есть подозрения, что всякая гадость висит не только на диске С
Добавлено через 1 час 26 минут
проблема все еще актуальна
Последний раз редактировалось GrishGun; 27.10.2009 в 11:22.
Причина: Добавлено
-
- Отключите Системное восстановление.
-Пофиксите:
Код:
O4 - HKLM\..\Run: [muBlinder] C:\Documents and Settings\KRUSH\Local Settings\Temp\Rar$EX00.824\muBlinder.exe -startup
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\CbhF.EXE
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\CbhF.EXE
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-8312190232-8204312036-071716259-7762\wmfcgr.exe','');
QuarantineFile('C:\Documents and Settings\KRUSH\Local Settings\Temp\Rar$EX00.824\muBlinder.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\CbhF.EXE','');
DeleteFile('C:\WINDOWS\system32\drivers\CbhF.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-8312190232-8204312036-071716259-7762\wmfcgr.exe');
DeleteFile('C:\Documents and Settings\KRUSH\Local Settings\Temp\Rar$EX00.824\muBlinder.exe');
DeleteFileMask('C:\Documents and Settings\KRUSH\Local Settings\Temp','*.*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','muBlinder');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось Rene-gad; 27.10.2009 в 11:38.
-
-
Junior Member
- Вес репутации
- 54
подфиксил и выполнил скрипт. а где взять карантин,чтобы его выложить?
Добавлено через 2 минуты
нашел как сделать карантин, сейчас отправлю и сделаю новые логи
Последний раз редактировалось GrishGun; 27.10.2009 в 12:03.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 54
все сделал.карантин загрузил.вот логи
-
Junior Member
- Вес репутации
- 54
в задачах все равно висит какое то зло например smss.exe
-
-
-
+ к V_Bond
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\aihsn.exe');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1631272081-3483836898-516826669-1231\wmfcgr.exe','');
TerminateProcessByName('c:\windows\mslsrv32.exe');
QuarantineFile('c:\windows\mslsrv32.exe','');
QuarantineFile('c:\aihsn.exe','');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1631272081-3483836898-516826669-1231\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
DeleteFile('c:\aihsn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
GrishGun
jeefo,neshta
Это файловые вирусы. Полностью проверьте компьютер с помощью CureIt или AVPTool в безопасном режиме, а затем в обычном. Ни одного зараженного файла не должно остаться, иначе, если он запустится, получите ту же картину
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 54
Снес винду,поставил снова. Сразу появился a-connect. видимо вирусы сидят не только на диске С
-
Junior Member
- Вес репутации
- 54
видимо a-connect тоже самое что и z-connect
Добавлено через 52 минуты
опять зависает компьютер,отключает доступ в инет и опять Generic Host Process for Win32 Services
Добавлено через 1 минуту
помогите
Последний раз редактировалось GrishGun; 28.10.2009 в 11:34.
Причина: Добавлено
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\i5m9z4a5w4x7.exe','');
QuarantineFile('C:\WINDOWS\system32\*.scr','');
QuarantineFile('c:\windows\system32\drivers\bssbt.exe','');
TerminateProcessByName('c:\windows\system32\drivers\bssbt.exe');
DeleteFile('c:\windows\system32\drivers\bssbt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\24.scr');
DeleteFile('C:\i5m9z4a5w4x7.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58412
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
все сделал.карантин загрузил,скрип выполнил. В корне диска С лежат файлы sami.exe somi.exe видимо вирусы
-
Junior Member
- Вес репутации
- 54
-
1. Отключите системное восстановление!
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\servises.exe');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','servises');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
загрузил карантин,выполнил скрипт. Логи:
-
-
-
Junior Member
- Вес репутации
- 54
вроде полет нормальный! Как логи?