OVERLORD Posted October 15, 2007 Report Share Posted October 15, 2007 Вырубился свет сег., комп сбросило, затем включаю бац - фаер сообщает: LBTSERV.exe лезет в инет на какой-то сайт типа Покера. В диспетчере задач смотрю - процесс висит, что такое? раньше не было такого. Ни гасится ни диспетчером, ни СТАРТЕРом (менеджер автозагрузки). В службах появилась новая - Logitech Inc, запуск автоматич. выставлен, службы этой не было раньше, это точно. В Яндексе рыл, но не нарыл что это - вроде только то, что значит это - Logitech BlueTooth Service. Снес всю эту хрень в общем, правда из списка служб не снести. Откуда это взялось, я так и не понял - блютус не ставил, да и прог никаких тоже в посл. время. Что ж это было такое?) Link to comment Share on other sites More sharing options...
OVERLORD Posted December 25, 2007 Author Report Share Posted December 25, 2007 Похоже, что у тебя спамбот. Теперь у меня при загрузке системы выдается сообщение: невозможно найти файл LBTSERV.exe. Кто-ниб может сказать, где это обычно прописывается? Реестр чистил, системные файлы смотрел - тоже ничего. Куда ж эта зараза прописала свою загрузку? Link to comment Share on other sites More sharing options...
ser208 Posted December 25, 2007 Report Share Posted December 25, 2007 Теперь у меня при загрузке системы выдается сообщение: невозможно найти файл LBTSERV.exe. Кто-ниб может сказать, где это обычно прописывается? Реестр чистил, системные файлы смотрел - тоже ничего. Куда ж эта зараза прописала свою загрузку? Выкладывай лог Hijackthis. Link to comment Share on other sites More sharing options...
Ray Posted December 25, 2007 Report Share Posted December 25, 2007 (edited) В реестр надо руками залезть, только аккуратно... Тупо ищи по всему реестру слово "LBTSERV". Возможно найдешь упоминание этого файла в качестве параметра запуска explorer.exe. Точной ветки не помню, есть таковое обнаружится, то надо аккуратно подправить параметр, чтобы кроме explorer там ничего не стартовало. либо в качестве службы - ветка HKLM\SYSTEM\CurrentControlSet\Services\<имя службы> службу эту надо удалить. Остальные упоминания файла также подлежат осмотрительному удалению. Да и еще - иногда использование команды msconfig дает лучшие результаты, нежели использование сторонних менеджеров автозагрузки... Edited December 25, 2007 by Ray Link to comment Share on other sites More sharing options...
Pili Posted December 26, 2007 Report Share Posted December 26, 2007 Проверьте в безопасном режиме все диски с помощью CureIT, выложите логи avz и hijackthis Link to comment Share on other sites More sharing options...
yuriks Posted December 26, 2007 Report Share Posted December 26, 2007 Нашол на каком то форуме У меня постояно включен ВПН, и меня постояно бомбардирует "наш" червяк. Всё тот же злосчастный червяк с кучей модификаций, все классифицируються как троянские программы касперским. Это: Backdoor.Win32.SdBot.bnk Backdoor.Win32.GrayBird.ma Backdoor.Win32.Rbot.bjh Backdoor.Win32.SdBot.bzi Backdoor.Win32.SdBot.cad Поведение вредоносного ПО 1) C:\WINDOWS\System32\svchost.exe пытаеться внедриться хаковое ПО RootShell. В последствии заражения файла хаковым ПО, Backdoor.Win32 начинает распространяться по компьютеру, и копирует свою резервную копию в файлы реестра. Подробный список по этому линку о новых сервисах в реестре. (что примечательно, червяк ограничиваеться каталогом C:\WINDOWS\System32) 2)Далее червяк генерит свою копию в C:\ или C:\WINDOWS. Ака много букф и цифр. 3) последняя ступень - червяк создаёт процесс C:\WINDOWS\LBTSERV.EXE, который при включеном ВПН начинает генерить немыслимый исходящий трафик, и в последствии вешает explorer.exe. Ко мне эта хрень долбится по 5 раз на дню. Вчера у знакомого боролся с последствиями заражения, из чего и выяснил всё вышенаписаное. Link to comment Share on other sites More sharing options...
OVERLORD Posted December 29, 2007 Author Report Share Posted December 29, 2007 Зачем-то удалили пост от ser208 @ 16.10.2007, 08:26 - было между моими первыми двумя постами. В реестр надо руками залезть, только аккуратно... либо в качестве службы - ветка HKLM\SYSTEM\CurrentControlSet\Services\<имя службы> службу эту надо удалить. А в какой части реестра эта ветка? Искал, не нашел. Проверьте в безопасном режиме все диски с помощью CureIT CureIT - это вроде бесплатная утилита от доктора Веба. А почему именно CureIT? И чем она лучше напр. того же каспера? Link to comment Share on other sites More sharing options...
Ray Posted December 29, 2007 Report Share Posted December 29, 2007 OVERLORD: А в какой части реестра эта ветка? Хм... Пишу без сокращений... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<имя службы> Link to comment Share on other sites More sharing options...
juve Posted December 29, 2007 Report Share Posted December 29, 2007 А в какой части реестра эта ветка? Искал, не нашел. Local_Machine CureIT - это вроде бесплатная утилита от доктора Веба. А почему именно CureIT? И чем она лучше напр. того же каспера? Потому, что бесплатная. Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 31, 2007 Report Share Posted December 31, 2007 Уже есть и бесплатный аналог Каспера - AVPTool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now