Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

Generic Host Process Win 32 подвешивает интернет, Аваст детектит Malware Gen и Rootkit gen (заявка № 78134)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29

    Exclamation Generic Host Process Win 32 подвешивает интернет, Аваст детектит Malware Gen и Rootkit gen

    Помогите, пожалуйста.

    Проблема началась давно, вирус отключил диспетчер задач, не позволял загрузить ни один антивирус или выйти на их сайты в Интернете. Пригласила я на помощь вроде бы знающего человека, который, отчаявшись поставить на компьютер хоть какую-либо антивирусную программу, предложил форматирование всего жесткого диска и переустановку Windows. Сделали. Установили Аваст. Стало только хуже.

    Сразу же при загрузке Windows появляется сообщение «Run-time error 9», в диспетчере задач висит unwanted instance – заставляет комп обращаться к дисководу флоппи-дискет (звук характерный). Можно снять задачу – но при перезагрузке все повторяется.

    При выходе в Интернет появляется сообщение Generic Host Process Win 32 – обнаружена ошибка, после чего виснет не только Интернет, но и весь компьютер.

    Dr.Web Cure it при первом сканировании показал наличие зараженных файлов exe в папке C:Windows/system 32 Win32HLLW Lime 8.
    Делала потом полное сканирование – вирусов не нашел, но сказал, что изменен файл Hosts.

    Аваст при работе в Интернете все время выдает сообщение о проникновении Malware gen и Rootkit gen, находит зараженные файлы в папке C: Documents and Settings – Temporary Internet files.

    Какой-то полный хаос. Я боюсь отдавать компьютер в руки еще кому-либо. Нашла ваш сайт, даже постаралась разобраться со всеми правилами. Если что-то сделала не совсем так – сильно не ругайтесь, хорошо?

    Буду очень признательна за помощь, или хотя бы совет – может, такой винчестер только заменить остается?
    Последний раз редактировалось amy; 12.05.2010 в 01:03. Причина: Добавить вложения с логами

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    В HiJackThis пофиксите:

    Код:
    R3 - URLSearchHook: (no name) - - (no file)

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\788.exe');
     TerminateProcessByName('c:\windows\cidrive32.exe');
     QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3396682965-3832156929-200326028-2301\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-2659557536-5892251697-427265465-9432\syscr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4849103391-2635055441-558945159-4733\syscr.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\788.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
     QuarantineFile('C:\WINDOWS\cidrive32.exe','');
     QuarantineFile('c:\windows\system32\msvmcls64.exe','');
     QuarantineFile('c:\windows\cidrive32.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\788.exe','');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\788.exe');
     DeleteFile('c:\windows\cidrive32.exe');
     DeleteFile('c:\windows\system32\msvmcls64.exe');
     DeleteFile('C:\WINDOWS\cidrive32.exe');
     DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\788.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
     DeleteFile('C:\RECYCLER\S-1-5-21-4849103391-2635055441-558945159-4733\syscr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3396682965-3832156929-200326028-2301\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-2659557536-5892251697-427265465-9432\syscr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
     DeleteFile('C:\WINDOWS\system32\scdll.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','87');
    BC_ImportDeletedList;
    ExecuteSysClean;
    executewizard('TSW',3,3,true);
    clearhostsfile;
    BC_Activate;
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы/
    Базы AVZ обновите!
    Логи повторите.

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Базы обновила.
    Пофиксить в HIjackThis указанную строку не могу - ее просто нет. В процессе работы эта программа выдает сообщение - You have a particularly large amount of hijacked domains. И далее предлатает - If you see the same IP address in all reported 01 items, consider deleting your hosts file which is located at C:\Windows\System32\dirvers\etc\hosts
    Что делать?

    Добавлено через 15 минут

    Карантин AVZ я отправила. Кстати, после выполненного скрипта при загрузке исчезла ошибка Run-time error и программка unwanted instance тоже автоматически не запустилась.
    Последний раз редактировалось amy; 12.05.2010 в 10:41. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от миднайт Посмотреть сообщение
    Логи повторите.
    Сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Новые логи высылаю.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('C:\WINDOWS\system32\Instmtv.exe');
     QuarantineFile('C:\WINDOWS\system32\12.exe','');
     QuarantineFile('C:\WINDOWS\system32\60.exe','');
     QuarantineFile('C:\WINDOWS\system32\Instmtv.exe','');
     DeleteFile('C:\WINDOWS\system32\Instmtv.exe');
     DeleteFile('C:\WINDOWS\system32\60.exe');
     DeleteFile('C:\WINDOWS\system32\12.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Карантин и новый логи отправляю

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
     QuarantineFile('C:\WINDOWS\system32\23.exe','');
     QuarantineFile('C:\WINDOWS\system32\28.scr','');
     DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3470484977-4172331039-145097354-2159\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\28.scr');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     Executerepair(11);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Сделайте лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Посылаю новые логи. То, что показала Antimalware - привело в тихий ужас. И откуда это все - ведь весь диск форматировали и систему переустанавливали

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Просканируйте ПК MBAM и удалите все что найдет.
    Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Дополнительно к совету shapel

    Лог http://virusinfo.info/showpost.php?p=493610&postcount=1 сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    После лечения AntiMalware

  14. #13
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    И только что, как отправила эти логи, выскочило старое сообщение Generic Host Process for Win 32 - обнаружена ошибка.
    И Аваст (включается при перезагрузке) опять прозвенел о заражении - теперь VB-PFC (Drp)

  15. #14

  16. #15
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Лог от ComboFix

    Что-то упрямая зараза, кажется.
    Вы не можете хоть намекнуть - как она могла появиться: осталась где-то на жестком диске после форматирования или занесли при загрузке новой системы? Или это установить невозможно?

    И еще - может ли с этим вирусом быть связан сбой в работе дисковода (например, он перестал читать некоторые диски, причем как CD, так и DVD. По времени эти проблемы совпали (дисковод стал барахлить в процессе форматирования/переустановки). Может - совпадение?

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\dn.exe
    c:\windows\system32\drivers\hosts
    
    Driver::
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\WINDOWS\\system32\\dn.exe"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Вот, новый отчет.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\ms.exe
    
    Driver::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MS Virtual CLS"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    12.05.2010
    Сообщений
    19
    Вес репутации
    29
    Выполнено

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Сделайте лог МВАМ

    Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
    Последний раз редактировалось thyrex; 13.05.2010 в 00:05.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) amy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 24.04.2010, 09:16
    2. Generic Host Process
      От Дмитрий 77 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.01.2010, 16:32
    3. Generic host process :< Looking for help
      От andrelik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.02.2009, 11:12
    4. Generic host process for....
      От andrelik в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.11.2008, 17:56
    5. Generic Host Process ?????
      От Dari в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.02.2008, 08:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00307 seconds with 16 queries