Показано с 1 по 8 из 8.

Непонятные процессы добавляются в автозапуск и мешают нормальной работе (заявка № 66853)

  1. #1
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    4
    Вес репутации
    52

    Thumbs up Непонятные процессы добавляются в автозапуск и мешают нормальной работе

    вначале обратил внимание на появляющийся без приглашения процесс wshost32. Начал его удалять/блокировать, но он все равно переодически появляется. На момент создания логов сканирования этого процесса небыло, но я боюсь, что он все же вернется.

    Симптомы мешающие работать: 1) Иногда спустя несколько минут после загрузки системы появляется сообщение об ошибке и отключении "Generic Host Process for Win32 Services". после появления этого сообщения отключается звуковой драйвер - нельзя ни отрегулировать громкость и запустить программы, требующие аудио. Самое интересное, что запущенный до появления сообщения об ошибке плеер (или программа) продолжает играть музыку и звук есть.
    2) "тормозит" интернет. при нажатии на ссылку браузер реагирует не с первой попытки. приходиться жать раз по 20-30 пока браузер начнет соединяться.

    Глубокое сканирование NOD32 выявило следующие разновидности вирусов:
    1.win32/injector.APM
    2.win32/trojanDownloader.agent
    3.win32/Delf.OXF
    4.win32/AutoRun.IRCBot.DI
    5.win32/Spy.Zbot.WS

    Очень благодарен за внимание. Буду ещё больше благодарен за помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0454120179-9100356167-131393699-8591\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8638246656-3278195712-456443513-1388\sysdrv.exe','');
     QuarantineFile('C:\Program Files\2d3\boujou 4.1\boujou.exe','');
     QuarantineFile('C:\WINDOWS\hasp_windows_66604.dll','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0454120179-9100356167-131393699-8591\wmfcgr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-8638246656-3278195712-456443513-1388\sysdrv.exe');
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(11); {разблокировка диспетчера задач}
     ExecuteRepair(16); {восстановление ключа запуска explorer}
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Обновите базы AVZ!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.
    Последний раз редактировалось gjf; 11.01.2010 в 21:39. Причина: чуть подправил скрипт

  4. #3
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    4
    Вес репутации
    52
    после выполнения скрипта и перезагрузки появилось окно "мастер нового оборудования", которое ничего не установило. это нормально?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Всё нормально, это мы потом уберём.
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     TerminateProcessByName('c:\windows\system32\lcacc.exe');
     QuarantineFile('c:\windows\system32\lcacc.exe','');
     DeleteFile('c:\windows\system32\lcacc.exe');
     QuarantineFile('c:\windows\system32\DRIVERS\parport.sys','');
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SetAVZPMStatus(false);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно только пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  6. #5
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    4
    Вес репутации
    52
    после выполнения скрипта и перезагрузки появилось сообщение "для защиты компьютера эта программа была закрыта системой: Generic Host Process for Win32 Services".

    карантин пустой.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Больше ничего вредоносного в логах не видно.
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

  8. #7
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    4
    Вес репутации
    52
    отлично! симптомы пропали. спасибо (нажал, но написать не лишним будет)

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Alex_ander, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зловреды мешают работе
      От Aspergillum в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 17.11.2011, 10:24
    2. Зловреды мешают работе (второй комп)
      От Aspergillum в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.11.2011, 16:42
    3. вирусы мешают нормальной работе (заявка №6355)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 12.02.2010, 15:00
    4. Ответов: 12
      Последнее сообщение: 02.02.2010, 12:53
    5. synsenddrv.sys-мешает нормальной работе компа
      От comphead в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.11.2009, 20:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01178 seconds with 20 queries