Показано с 1 по 17 из 17.

Модицирован hosts, скрытый процесс service.exe (заявка № 64469)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Thumbs up Модицирован hosts, скрытый процесс service.exe

    Модицирован hosts, заблокированы все антивирусные сайты, KAV постоянно, с интервалом 10-15 мин. отмечает подозрение на скрытый процесс, похожий на "PDM.Hidden objrcts", затем "PDM.Hosts", и все это со ссылкой на паку System32, файл service.exe.
    Какая-то программа постоянно пытается побключиться к интернету.
    Я занимался лечением другого компьютера с Вашей помощью, сейчас уже, похоже, заканчивается и, наверное, через флэшку занес вирус на ноутбук, о котором сейчас пишу. Я через него работал, поскольку на "больных" компьютерам все заблокировано (это все видно в отчете HijackThis, утилита и предупреждает об этом - про файл hosts).
    Проверка KAV ничего не дает, все в норме, в обычном режиме проверка CureIT тоже нормально, безопасный режим не запускается, после выполнения скрипта для перезагрузки ничего не меняется.
    Проверка и устранение с помощью AVZ тоже ничего не изменяет.
    После выбора безопасного режима, летит окно загрузки, затем синий экран и перезагрузка до окна выбора режима загрузки.
    Скрипты высылаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Логи

    При включении компьютера пытается запуститься какой-то процесс и унего происходит сбой, Windows открывает окно про него, "отправить сообщение...": "qtplugin.exe"
    Последний раз редактировалось atv2010; 07.09.2010 в 02:49.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ImageItEncrypt.exe','');
     QuarantineFile('c:\windows\system32\service.exe','');
     TerminateProcessByName('c:\windows\system32\service.exe');
     QuarantineFile('c:\windows\system32\qtplugin.exe','');
     TerminateProcessByName('c:\windows\system32\qtplugin.exe');
     DeleteFile('c:\windows\system32\qtplugin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Выполнил

    Карантин после выполнения скрипта загрузил.
    Скрипты после проверки высылаю.
    Последний раз редактировалось atv2010; 07.09.2010 в 02:49.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\service.exe');
     QuarantineFile('c:\windows\system32\service.exe','');
     DeleteFile('c:\windows\system32\service.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    >> Заблокированы настройки системы System Restore
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Выполнил

    Все выполнил, карантин загрузил, логи высылаю. Ошибку исправил.
    Появился ярлык "рус-англ", в интернет выйти программа не пытается.
    Стало потише. Загрузка в безопасном режиме после выполнения "поиска и устранения..." не получается, синий экран и перезагрузка до выбора режима.
    Выполнил в AVZ рекомендованный скрипт для перезагрузки, получилось войти в безопасный режим.
    Последний раз редактировалось atv2010; 07.09.2010 в 02:49.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Новый лог virusinfo_syscheck.zip сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Выполнено

    Выполнил. Лог высылаю.
    Последний раз редактировалось atv2010; 07.09.2010 в 02:49.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Больше плохого не увидел.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Снова вирусы

    Часа 3 назад я подумал, что плохого уже не видно и начал делать копию диска (инкрементный архив) средствами Acer и вдруг KAV выявил троян и снова service.exe. Прищлось выключить комп., т.к. мне не нужна копия с вирусами. В результате погибла предыдущая копия (осталась только начальная при покупке).
    Я обновил KAV и сейчас провожу проверку, он снова находит и этот service.exe и другие источники, которые уже мелькали ранее. Он их удаляет, а один троян, имя начинается с символа @, а далее что-то незнакомое, он не может удалить и пропускает.
    Вот такие, например:
    23.12.2009 16:16:52 Обнаружено: Trojan.Win32.Buzus.cufo eRecovery C:\WINDOWS\SYSTEM32\QXZV47.EXE@
    23.12.2009 19:23:22 Обнаружено: Trojan.Win32.Buzus.cufo Антивирус Касперского C:\WINDOWS\SYSTEM32\qxzv28.exe@
    23.12.2009 19:24:26 Обнаружено: Trojan.Win32.Buzus.cufo Антивирус Касперского C:\WINDOWS\SYSTEM32\SERVICE.EXE

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Заплатки после SP3 все стоят ?

  13. #12
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Установил заплатки

    Только закончил, установил все обновления, вклюяая декабрь.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Сделайте новые логи.

  15. #14
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Логи

    Сделал.
    Последний раз редактировалось atv2010; 07.09.2010 в 02:49.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    В логах зверей не оказалось
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Спасибо

    Спасибо.
    Мне кажется, что все работает хорошо.
    Сделаю копию, еще раз спасибо.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\qtplugin.exe - Trojan-Downloader.Win32.Piker.afj ( DrWEB: Trojan.Spambot.5344 )
      2. c:\windows\system32\service.exe - Trojan.Win32.Buzus.cufo ( DrWEB: BackDoor.IRC.Sdbot.7103, BitDefender: Trojan.Generic.2909581, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) atv2010, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Скрытый процесс
      От AxelGoot в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.03.2012, 18:45
    2. Скрытый процесс 2
      От AxelGoot в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.03.2012, 17:24
    3. Скрытый процесс
      От TormoZ в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 17.02.2010, 17:54
    4. скрытый процесс
      От Desperado в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2010, 00:27
    5. Скрытый процесс
      От Morwane в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.12.2009, 14:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01406 seconds with 16 queries