Непонятная активность в компе

[DION]

Здравствуйте, вобщем у меня такая проблема, в компьютере непонятно от чего стало появляться сообщение касперского.

собствено

20.06.2010 7:07:17 Generic Host Process for Win32 Services Запрещено: */knock.php?n=*&s=* Базы

появляется примерно каждые 30-60 минут, все что я мог сделать (в администрировании, службах ) позакрывать закрыл.... в TCP/IP тоже

проблема осталась, что сделать уже незнаю.... файл hosts проверил там чисто, выскакивает просто при загрузке интернета!

 

Строгое предупреждение от модератора zell

Не выкладывайте фишинговые ссылки, будьте добры!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[icotonev]

Доброе утро!

 

Пофиксить в HijackThis следующие строчки:

 

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\o91niJq.exe,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\asus.sys\config\dvmexportservice.exe');
StopService('dvmmdes');
QuarantineFile('c:\asus.sys\config\dvmexportservice.exe','');
QuarantineFile('c:\asus.sys\config\d','');
QuarantineFile('\\?\globalroot\systemroot\system32\o91nijq.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\war18.tmp','');
DeleteFile('c:\asus.sys\config\dvmexportservice.exe');
DeleteFile('c:\asus.sys\config\d');
DeleteFile('\\?\globalroot\systemroot\system32\o91nijq.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\war18.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\DvmMDES','EventMessageFile');
DeleteService('dvmmdes');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

 

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

 

Повторите логи АВЗ + RSIT+HijackThis...!Кстати,то, что состояние вашей системы..?

[DION]

Огромное спасибо вам, после скрипта и перезагрузки больше не выскакивает это!

Но то, что вы просили сделать 2 скрипт увы не получается ниже приведу скрин!

Также привожу 3 файла, которые вы просили повторить!

А что вы имели ввиду? - "Кстати,то, что состояние вашей системы..? "

 

Еще раз огромное спасибо!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Во втором скрипте не хватало точки в конце. Поправлено. Выполните второй скрипт и рекомендацию после него

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[DION]

Я очень благодарен за помощь, но тем не мение хотелось бы знать для чего это все делается? просто хочу знать что делаю и зачем!

Изменено 20 июня, 2010 пользователем DION

[B1ohazarD]

Я очень благодарен за помощь, но тем не мение хотелось бы знать для чего это все делается? просто хочу знать что делаю и зачем!

Чтобы Хелперы могли точно сказать, что за вирус у вас сидит/сидел и что он успел покусать

[icotonev]

DION Мне нужно лог из RSIT для завершения лечения вашей системы...

 

....ответ анализ из ЛК вернулся..?

Изменено 20 июня, 2010 пользователем icotonev

[DION]

Прикрепляю 2 файла, архив с непонятным вирусом отправил жду ответа.

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows

 

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

 

dvmexportservice.exe,

o91nijq.exe

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

 

Вобщем я так понял проблема решена, огромное спасибо всем кто помогал! успехов вам!=)

log.txt

info.txt

[icotonev]

По логу чисто.

 

Установите SP3 (может потребоваться активация) + все новые патчи

Установите Internet Explorer 8 (даже если им не пользуетесь)

Установите Adobe Acrobat 9.3 или удалите старый

[DION]

Благодарю СП3 стоит, акробат и ИЕ поставлю!