Jump to content
СофтФорум - всё о компьютерах и не только

Вирус C:\Windows\system32\x


Recommended Posts

Проблема, аналогичная той, о которой писал Dida писал тут

... Я встречал такую проблему, но не на ноутбуке. Каждые пять минут Avira определял вирусы в папке NetworkService NT Authority 004. Причём формат этих файлов был jpeg, gif, bmp, т.е картинки. После того, как я давал команду Авире "удалить", у меня через несколько минут находился новый вирус в Windows/system32/x. Я опять давал команду "удалить", и у меня сразу вылазила системная ошибка Generic Host Process for Win32 services, появлялось "отправить отчёт", "не отправлять". Когда я нажимал "не отправлять" у меня сразу происходило тоже самое, что и с вашим ноутбуком: нарушалась связь с интернетом, компьютер зависал.

Потом я просто зашёл в систему из-под Windows XPE и удалил файлы из NetworkService, которые, к моему удивлению оказались действительно картинками. Когда я открывал их, появлялось какое-то изображение, я уже не помню какое. После их удаления у меня всё стало нормально..Либо можно удалить эти файлы через Тотал Коммандер. Но сколько я не искал, я так и не нашёл файл "х" в Windows/system32...

Тоже ноут, тоже Avira, тоже C:\Windows\system32\x

НО! Совет проблему не решил. Avira снова и снова обнаруживает то же самое. NetworkService чистая.

Логи прилагаю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2009_02_20__22_32_36_.txt

hijackthis.log

log1.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2009_02_20__22_32_36_.txt

hijackthis.log

log1.txt

Link to comment
Share on other sites

Вы испробовали оба варианта? Я через Тотал Коммандер не пробовал. Но точно уверен, что через Тотал коммандер без unlocker удалить эти файлы будет невозможно. Вы пробовали зайти в систему из-под windows XPЕ? У нас называют её так. Но, вроде эта операционная система называется по-настоящему windows XP live. Эта ОС находится на диске и загружается с этого диска. Её ещё многие мои друзья называют одноразовой ОС. То есть когда вы загрузили эту ОС с диска, то можете с нею работать только тогда, когда диск находится в приводе.

P.S: если вы на 100% уверены, что NetworkService "чистая", то советов больше нет...

Link to comment
Share on other sites

VSS: Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключениях брандмауэра общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc, описание здесь

Отключите автозапуск, скачайте AutorunDisabled.zip, распакуйте и примените.

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Установите обновления

MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx)

MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx)

MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx)

А лучше всё, что предложит windowsupdate.microsoft.com

Обновите Java

Очистите временные файлы с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

И ещё рекомендую так

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:FilesC:\Windows\system32\x:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Проверьтесь с помощью KidoKiller_v3.2

KidoKiller_v3.2.rar

Лог RSIT кривой, вероятно вы его сами редактировали, утилита сама создает файлы log.txt и info.txt, повторите.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

KidoKiller_v3.2.rar

Edited by Pili
Link to comment
Share on other sites

VSS: файлы из папки c:\temp\ знакомы?

Пофиксите в HJT

R3 - URLSearchHook: (no name) -  - (no file)
C:\Windows\system32\x moved successfully.

Зловред удален. По логам ничего плохого, как себя чувствует компьютер?

Link to comment
Share on other sites

Пофиксите в HJT

R3 - URLSearchHook: (no name) -  - (no file)

Avira молчит )))) Спасибо большое всем за помощь )))

НО! После Fix при попытке открытия мазиллы, thunderbird, media и windows плееров стало появляться сообщение

"точка входа в процедуру ... не найдена в библиотеке DLL KERNEL32.dll"

Как откатить?

Link to comment
Share on other sites

Спасла перезагрузка.

После неё всё как и небывало.

Можно сказать, что сутки полёт нормальный )))

Pili огромное спасибо за помощь!

Link to comment
Share on other sites

  • 4 weeks later...
  • 4 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...