OVERLORD Опубликовано 15 октября, 2007 Жалоба Поделиться Опубликовано 15 октября, 2007 Вырубился свет сег., комп сбросило, затем включаю бац - фаер сообщает: LBTSERV.exe лезет в инет на какой-то сайт типа Покера. В диспетчере задач смотрю - процесс висит, что такое? раньше не было такого. Ни гасится ни диспетчером, ни СТАРТЕРом (менеджер автозагрузки). В службах появилась новая - Logitech Inc, запуск автоматич. выставлен, службы этой не было раньше, это точно. В Яндексе рыл, но не нарыл что это - вроде только то, что значит это - Logitech BlueTooth Service. Снес всю эту хрень в общем, правда из списка служб не снести. Откуда это взялось, я так и не понял - блютус не ставил, да и прог никаких тоже в посл. время. Что ж это было такое?) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
OVERLORD Опубликовано 25 декабря, 2007 Автор Жалоба Поделиться Опубликовано 25 декабря, 2007 Похоже, что у тебя спамбот. Теперь у меня при загрузке системы выдается сообщение: невозможно найти файл LBTSERV.exe. Кто-ниб может сказать, где это обычно прописывается? Реестр чистил, системные файлы смотрел - тоже ничего. Куда ж эта зараза прописала свою загрузку? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 25 декабря, 2007 Жалоба Поделиться Опубликовано 25 декабря, 2007 Теперь у меня при загрузке системы выдается сообщение: невозможно найти файл LBTSERV.exe. Кто-ниб может сказать, где это обычно прописывается? Реестр чистил, системные файлы смотрел - тоже ничего. Куда ж эта зараза прописала свою загрузку? Выкладывай лог Hijackthis. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ray Опубликовано 25 декабря, 2007 Жалоба Поделиться Опубликовано 25 декабря, 2007 (изменено) В реестр надо руками залезть, только аккуратно... Тупо ищи по всему реестру слово "LBTSERV". Возможно найдешь упоминание этого файла в качестве параметра запуска explorer.exe. Точной ветки не помню, есть таковое обнаружится, то надо аккуратно подправить параметр, чтобы кроме explorer там ничего не стартовало. либо в качестве службы - ветка HKLM\SYSTEM\CurrentControlSet\Services\<имя службы> службу эту надо удалить. Остальные упоминания файла также подлежат осмотрительному удалению. Да и еще - иногда использование команды msconfig дает лучшие результаты, нежели использование сторонних менеджеров автозагрузки... Изменено 25 декабря, 2007 пользователем Ray Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 декабря, 2007 Жалоба Поделиться Опубликовано 26 декабря, 2007 Проверьте в безопасном режиме все диски с помощью CureIT, выложите логи avz и hijackthis Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
yuriks Опубликовано 26 декабря, 2007 Жалоба Поделиться Опубликовано 26 декабря, 2007 Нашол на каком то форуме У меня постояно включен ВПН, и меня постояно бомбардирует "наш" червяк. Всё тот же злосчастный червяк с кучей модификаций, все классифицируються как троянские программы касперским. Это: Backdoor.Win32.SdBot.bnk Backdoor.Win32.GrayBird.ma Backdoor.Win32.Rbot.bjh Backdoor.Win32.SdBot.bzi Backdoor.Win32.SdBot.cad Поведение вредоносного ПО 1) C:\WINDOWS\System32\svchost.exe пытаеться внедриться хаковое ПО RootShell. В последствии заражения файла хаковым ПО, Backdoor.Win32 начинает распространяться по компьютеру, и копирует свою резервную копию в файлы реестра. Подробный список по этому линку о новых сервисах в реестре. (что примечательно, червяк ограничиваеться каталогом C:\WINDOWS\System32) 2)Далее червяк генерит свою копию в C:\ или C:\WINDOWS. Ака много букф и цифр. 3) последняя ступень - червяк создаёт процесс C:\WINDOWS\LBTSERV.EXE, который при включеном ВПН начинает генерить немыслимый исходящий трафик, и в последствии вешает explorer.exe. Ко мне эта хрень долбится по 5 раз на дню. Вчера у знакомого боролся с последствиями заражения, из чего и выяснил всё вышенаписаное. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
OVERLORD Опубликовано 29 декабря, 2007 Автор Жалоба Поделиться Опубликовано 29 декабря, 2007 Зачем-то удалили пост от ser208 @ 16.10.2007, 08:26 - было между моими первыми двумя постами. В реестр надо руками залезть, только аккуратно... либо в качестве службы - ветка HKLM\SYSTEM\CurrentControlSet\Services\<имя службы> службу эту надо удалить. А в какой части реестра эта ветка? Искал, не нашел. Проверьте в безопасном режиме все диски с помощью CureIT CureIT - это вроде бесплатная утилита от доктора Веба. А почему именно CureIT? И чем она лучше напр. того же каспера? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ray Опубликовано 29 декабря, 2007 Жалоба Поделиться Опубликовано 29 декабря, 2007 OVERLORD: А в какой части реестра эта ветка? Хм... Пишу без сокращений... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<имя службы> Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
juve Опубликовано 29 декабря, 2007 Жалоба Поделиться Опубликовано 29 декабря, 2007 А в какой части реестра эта ветка? Искал, не нашел. Local_Machine CureIT - это вроде бесплатная утилита от доктора Веба. А почему именно CureIT? И чем она лучше напр. того же каспера? Потому, что бесплатная. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 31 декабря, 2007 Жалоба Поделиться Опубликовано 31 декабря, 2007 Уже есть и бесплатный аналог Каспера - AVPTool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.