DION Опубликовано 20 июня, 2010 Опубликовано 20 июня, 2010 Здравствуйте, вобщем у меня такая проблема, в компьютере непонятно от чего стало появляться сообщение касперского. собствено 20.06.2010 7:07:17 Generic Host Process for Win32 Services Запрещено: */knock.php?n=*&s=* Базы появляется примерно каждые 30-60 минут, все что я мог сделать (в администрировании, службах ) позакрывать закрыл.... в TCP/IP тоже проблема осталась, что сделать уже незнаю.... файл hosts проверил там чисто, выскакивает просто при загрузке интернета! Строгое предупреждение от модератора zell Не выкладывайте фишинговые ссылки, будьте добры! virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
icotonev Опубликовано 20 июня, 2010 Опубликовано 20 июня, 2010 Доброе утро! Пофиксить в HijackThis следующие строчки: R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\o91niJq.exe, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\asus.sys\config\dvmexportservice.exe'); StopService('dvmmdes'); QuarantineFile('c:\asus.sys\config\dvmexportservice.exe',''); QuarantineFile('c:\asus.sys\config\d',''); QuarantineFile('\\?\globalroot\systemroot\system32\o91nijq.exe',''); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\war18.tmp',''); DeleteFile('c:\asus.sys\config\dvmexportservice.exe'); DeleteFile('c:\asus.sys\config\d'); DeleteFile('\\?\globalroot\systemroot\system32\o91nijq.exe'); DeleteFile('c:\docume~1\9335~1\locals~1\temp\war18.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\DvmMDES','EventMessageFile'); DeleteService('dvmmdes'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine .zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Повторите логи АВЗ + RSIT+HijackThis...!Кстати,то, что состояние вашей системы..?
DION Опубликовано 20 июня, 2010 Автор Опубликовано 20 июня, 2010 Огромное спасибо вам, после скрипта и перезагрузки больше не выскакивает это! Но то, что вы просили сделать 2 скрипт увы не получается ниже приведу скрин! Также привожу 3 файла, которые вы просили повторить! А что вы имели ввиду? - "Кстати,то, что состояние вашей системы..? " Еще раз огромное спасибо! virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
thyrex Опубликовано 20 июня, 2010 Опубликовано 20 июня, 2010 Во втором скрипте не хватало точки в конце. Поправлено. Выполните второй скрипт и рекомендацию после него Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
DION Опубликовано 20 июня, 2010 Автор Опубликовано 20 июня, 2010 (изменено) Я очень благодарен за помощь, но тем не мение хотелось бы знать для чего это все делается? просто хочу знать что делаю и зачем! Изменено 20 июня, 2010 пользователем DION
B1ohazarD Опубликовано 20 июня, 2010 Опубликовано 20 июня, 2010 Я очень благодарен за помощь, но тем не мение хотелось бы знать для чего это все делается? просто хочу знать что делаю и зачем! Чтобы Хелперы могли точно сказать, что за вирус у вас сидит/сидел и что он успел покусать
icotonev Опубликовано 20 июня, 2010 Опубликовано 20 июня, 2010 (изменено) DION Мне нужно лог из RSIT для завершения лечения вашей системы... ....ответ анализ из ЛК вернулся..? Изменено 20 июня, 2010 пользователем icotonev
DION Опубликовано 20 июня, 2010 Автор Опубликовано 20 июня, 2010 Прикрепляю 2 файла, архив с непонятным вирусом отправил жду ответа. Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение. dvmexportservice.exe, o91nijq.exe Файлы в процессе обработки. С уважением, Лаборатория Касперского Вобщем я так понял проблема решена, огромное спасибо всем кто помогал! успехов вам!=) log.txt info.txt
icotonev Опубликовано 20 июня, 2010 Опубликовано 20 июня, 2010 По логу чисто. Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Установите Adobe Acrobat 9.3 или удалите старый 1
DION Опубликовано 20 июня, 2010 Автор Опубликовано 20 июня, 2010 Благодарю СП3 стоит, акробат и ИЕ поставлю!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти