-
Junior Member
- Вес репутации
- 53
Модицирован hosts, скрытый процесс service.exe
Модицирован hosts, заблокированы все антивирусные сайты, KAV постоянно, с интервалом 10-15 мин. отмечает подозрение на скрытый процесс, похожий на "PDM.Hidden objrcts", затем "PDM.Hosts", и все это со ссылкой на паку System32, файл service.exe.
Какая-то программа постоянно пытается побключиться к интернету.
Я занимался лечением другого компьютера с Вашей помощью, сейчас уже, похоже, заканчивается и, наверное, через флэшку занес вирус на ноутбук, о котором сейчас пишу. Я через него работал, поскольку на "больных" компьютерам все заблокировано (это все видно в отчете HijackThis, утилита и предупреждает об этом - про файл hosts).
Проверка KAV ничего не дает, все в норме, в обычном режиме проверка CureIT тоже нормально, безопасный режим не запускается, после выполнения скрипта для перезагрузки ничего не меняется.
Проверка и устранение с помощью AVZ тоже ничего не изменяет.
После выбора безопасного режима, летит окно загрузки, затем синий экран и перезагрузка до окна выбора режима загрузки.
Скрипты высылаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Логи
При включении компьютера пытается запуститься какой-то процесс и унего происходит сбой, Windows открывает окно про него, "отправить сообщение...": "qtplugin.exe"
Последний раз редактировалось atv2010; 07.09.2010 в 03:49.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ImageItEncrypt.exe','');
QuarantineFile('c:\windows\system32\service.exe','');
TerminateProcessByName('c:\windows\system32\service.exe');
QuarantineFile('c:\windows\system32\qtplugin.exe','');
TerminateProcessByName('c:\windows\system32\qtplugin.exe');
DeleteFile('c:\windows\system32\qtplugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Выполнил
Карантин после выполнения скрипта загрузил.
Скрипты после проверки высылаю.
Последний раз редактировалось atv2010; 07.09.2010 в 03:49.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\service.exe');
QuarantineFile('c:\windows\system32\service.exe','');
DeleteFile('c:\windows\system32\service.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выполнил
Все выполнил, карантин загрузил, логи высылаю. Ошибку исправил.
Появился ярлык "рус-англ", в интернет выйти программа не пытается.
Стало потише. Загрузка в безопасном режиме после выполнения "поиска и устранения..." не получается, синий экран и перезагрузка до выбора режима.
Выполнил в AVZ рекомендованный скрипт для перезагрузки, получилось войти в безопасный режим.
Последний раз редактировалось atv2010; 07.09.2010 в 03:49.
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Новый лог virusinfo_syscheck.zip сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось atv2010; 07.09.2010 в 03:49.
-
Больше плохого не увидел.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Снова вирусы
Часа 3 назад я подумал, что плохого уже не видно и начал делать копию диска (инкрементный архив) средствами Acer и вдруг KAV выявил троян и снова service.exe. Прищлось выключить комп., т.к. мне не нужна копия с вирусами. В результате погибла предыдущая копия (осталась только начальная при покупке).
Я обновил KAV и сейчас провожу проверку, он снова находит и этот service.exe и другие источники, которые уже мелькали ранее. Он их удаляет, а один троян, имя начинается с символа @, а далее что-то незнакомое, он не может удалить и пропускает.
Вот такие, например:
23.12.2009 16:16:52 Обнаружено: Trojan.Win32.Buzus.cufo eRecovery C:\WINDOWS\SYSTEM32\QXZV47.EXE@
23.12.2009 19:23:22 Обнаружено: Trojan.Win32.Buzus.cufo Антивирус Касперского C:\WINDOWS\SYSTEM32\qxzv28.exe@
23.12.2009 19:24:26 Обнаружено: Trojan.Win32.Buzus.cufo Антивирус Касперского C:\WINDOWS\SYSTEM32\SERVICE.EXE
-
Заплатки после SP3 все стоят ?
-
-
Junior Member
- Вес репутации
- 53
Установил заплатки
Только закончил, установил все обновления, вклюяая декабрь.
-
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось atv2010; 07.09.2010 в 03:49.
-
В логах зверей не оказалось
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо
Спасибо.
Мне кажется, что все работает хорошо.
Сделаю копию, еще раз спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\qtplugin.exe - Trojan-Downloader.Win32.Piker.afj ( DrWEB: Trojan.Spambot.5344 )
- c:\windows\system32\service.exe - Trojan.Win32.Buzus.cufo ( DrWEB: BackDoor.IRC.Sdbot.7103, BitDefender: Trojan.Generic.2909581, AVAST4: Win32:Malware-gen )
-