Проблем с Malware във "System32"

bobo13 · Юли 8, 2010

Здравейте,

Вчера започна да ми излиза много пъти едно след друго съобщение на аваста Предупреждение - Бе открит Malware!

C:\WINDOWS\system32\install\svchost.exe

MSIL:Crypt-AN [Drp]

Dropper

100708-1, 08.07.2010

~

Снощи спря по едно време, но тази вечер като натисна "мести в клетка", след няколко секунди се зарежда пак съобщението.

Ще ми помогне ли някой какво да правя...

rumenlalov · Юли 8, 2010

Опитай първо да почистиш със SuperAntiSpyware или Malwarebyte's Anti-Malware. Може и с двете една след друга.

bobo13 · Юли 8, 2010

Почистих с втората, ето това е резултата след като следвах инструкциите от другата тема за папка System32:

~

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Версия на базата от данни: 4293

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

08.7.2010 г. 23:09:30

mbam-log-2010-07-08 (23-09-30).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 191685

Изминало време: 14 минута(и), 17 секунда(и)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 5

Заразени стойности в регистратурата: 4

Заразени информационни обекти в регистратурата: 3

Заразени папки: 2

Заразени файлове: 8

Заразени процеси в паметта:

(Не бяха открити зловредни обекти)

Заразени модули в паметта:

(Не бяха открити зловредни обекти)

Заразени ключове в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4y28qj07-3k2k-u244-du22-g43ijv22i67s} (Generic.Bot.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5mk87bgc-w151-t42w-pb2r-66cqykxfgqf4} (Generic.Bot.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\antivirus2008y (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\antivirus2008y (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox (Trojan.Agent) -> Quarantined and deleted successfully.

Заразени стойности в регистратурата:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Dropper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Dropper) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Dropper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\somefox (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Заразени информационни обекти в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заразени папки:

C:\Documents and Settings\USER\Application Data\Antivirus2008y (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

C:\Program Files\AV9 (Rogue.AntiVirus2009) -> Quarantined and deleted successfully.

Заразени файлове:

C:\WINDOWS\system32\drivers\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\install\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\USER\Application Data\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\USER\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk (Rogue.AntiVirus2009) -> Quarantined and deleted successfully.

C:\Documents and Settings\USER\Local Settings\Temp\ie.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\USER\Local Settings\Temp\IEPASS.abc (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\USER\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\USER\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

~

Сега дали да правя нещо, рестартира се и предполагам са изтрити, много нещо намери тази програма, даже Trojan.FakeAlert (не че знам какво е точно де).

rumenlalov · Юли 8, 2010

За всеки случай пусни едно сканиране и със SUPERAntiSpyware Free. Ако я нямаш инсталирана изтегли я от сайта, инсталирай и обнови преди сканиране.

Това открих за зловредия код Trojan.FakeAlert.PP, предупреждава потребителя, че компютърът му е заразен и го приканва да инсталира фалшивия антивирус Adware.Xpantivirus.A.

Ето и още малко информация за (Rogue.AntiVirus2009). Това е зловредо приложение което се инсталира в компютъра без съгласието на потребителя с помоща на троянски кон който влиза при изтегляне на файлове от съмнителни сайтове.

bobo13 · Юли 8, 2010

Благодаря за помощта, другата програма откри един троянски кон, над 800 бисквитки и два вида други неща, всичко изтрих, но след като инсталирах тези двете програми, ми се появи долу вдясно предупреждение че не ми се обновява автоматично уиндоуса. Предполагам че не трябва да му обръщам внимание на съобщението? С тези програми дали няма да имам проблем, не е ли по-добре да ги де-инсталирам и след време пак да си ги дръпна да сканирам?

rumenlalov · Юли 8, 2010

От настройките махни отметките и на двете за да не се стартират с Уиндоуса. Включвай ги периодично, обновявай ги и сканирай профилактично. И винаги когато забележиш промяна в нормалната работа на компютъра.

Ако в момента SUPERAntiSpyware Free е включена, след като махнеш отметката-десен бутон върху бръмбара долу до часовника и изход,за да не ти товари излишно рамта.

bobo13 · Юли 8, 2010

Благодаря за помощта!

B-boy/StyLe/ · Юли 9, 2010

Аз предлагам да направиш и една проверка с Hitman Pro 3.5.6.105 за всеки случай. Програмата няма защита в реално време, безплатна е ако се използва като скенер, ако намери нещо имаш право да я активираш еднократно за срок от 30 дни за да си почистиш машината с нея. Добре ще е да дадеш и една снимка на резултатите от проверката ако открие нещо, че понякога дава фалшиви тревоги (нормално като се има напредвид с колко енджина разполага).

bobo13 · Юли 9, 2010

Програмата намери доста бисквитки + два други файла - един Malware и един Rootkit, обаче като поисках безплатен лиценз, ми казва че Firewall блокира програмата и трябвало първо да си обновя уиндоуса. А това май не трябва да го правя с моя уиндоус.

TechMaster · Юли 9, 2010

Интересно защо ползваш става версия на IE и WindowsXP SP2, като SP3 излезе преди повече от...2 години...

Обновявай редовно! Зловредните програми се възползват от точно тези дупки в сигурността.

rumenlalov · Юли 9, 2010

Естествено е тези програми да изискват обновяване на Уиндоеса, от гледна точка повишаване на безопастноста, а и самите те да могат да дадат всичко от себе си. Ако можеш да си позволиш 6-8ГБ за обновин уиндоус -направи го. Ако не можеш, намери специализиран инструмент да премахнеш Rootkit-а, има такива. След това провери дали се обновява антивирусната редовно. И внимавай с лъжесайтовете които предлагат в изобилие "безплатни нещица".

Извинявам се за граматичните грешки!

Почисти браузера и диска от натрупаните временни файлове и бисквитките. Прави го редовно. Най-малкото ще освободиш ценно дисково място и ще имаш малко-по добре работещ компютър.

B-boy/StyLe/ · Юли 9, 2010

Няма да е зле да кажеш и какъв е рууткита...

Възможно е да си заразен с TDL3.

Най-добре разпъни резултатите в Hitman Pro (натисни стрелкичките вляво) за да се види кой от енджините е засякъл malware-a и направи снимка.

Публикувай снимката в следващия си коментар.

bobo13 · Юли 9, 2010

Това е резултата. Обаче не мога да продължа заради стария уиндоус.

Един познат ми каза че може да не инсталирам нов уиндоус, а направо от автоматично обновяване, само да съм махнел отметката на "geniune". Така ли е, да пробвам ли обновяване?

B-boy/StyLe/ · Юли 9, 2010

Еми изтрий ги ръчно (какъв е проблема) ?

C:\Documents and Settings\user\Local Settings\Temp\screenshots.selfextract.exe

C:\Documents and Settings\user\Local Settings\Temp\ff.exe

После мини с един CCleaner да обере и бисквитките и готово.

Накрая повтори сканирането за да се увериш, че всичко вече е наред и няма нови намерени обекти.

bobo13 · Юли 9, 2010

Това е резултата. Обаче не мога да продължа заради стария уиндоус.
Един познат ми каза че може да не инсталирам нов уиндоус, а направо от автоматично обновяване, само да съм махнел отметката на "geniune". Така ли е, да пробвам ли обновяване?

След като инсталирах обновяването на уиндоуса, Hitman Pro 3.5.6.105 успя да се активира за 30 дни както каза, и да изтрие засечените файлове, да се надяваме че няма да имам проблеми с оригиналния сайт на уиндоус,

При втората проверка с програмата нямаше нищо засечено!

Благодаря за помощта на всички!

Проблем с Malware във "System32"

Препоръчан пост

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation