Версия для печати темы

Автор: Поломался windows Суббота, 25 Октября 2008, 16:32

Здравствуйте друзья!

Собственно в Диспетчере задач отображается много процессов Services.exe и CMD.exe вот скриншот:



ps: процессов CMD.exe не видно в скриншоте, так как на момент когда делал скрин я завершил эти процессы.



это так и должно быть? вроде раньше так не было.

Автор: zzsnn Суббота, 25 Октября 2008, 19:24

Это не нормально. Вероятней всего поймал вирус или троян. Самое простое для Вас - это для начала скачать утилиту AVZ http://z-oleg.com/secur/avz_doc/ Там есть help. Прочитайте пожалуйста и выполните лечение согласно рекомендациям. Если не поможет, тогда сообщите подскажем следующие шаги.

Автор: Поломался windows Суббота, 25 Октября 2008, 21:34

Это не нормально. Вероятней всего поймал вирус или троян. Самое простое для Вас - это для начала скачать утилиту AVZ http://z-oleg.com/secur/avz_doc/ Там есть help. Прочитайте пожалуйста и выполните лечение согласно рекомендациям. Если не поможет, тогда сообщите подскажем следующие шаги.

Автор: Поломался windows Суббота, 25 Октября 2008, 22:39

скачал/установил утилиту AVZ.

выполнил полную проверку. удалил все файлы hosts (через AVZ)
Отулючил из автозагрузки два подозрительных процесса. Почистил всё это дело Free Spacer-ом.
Никаких лишних процессов больше нету.

Автор: zzsnn Воскресенье, 26 Октября 2008, 7:23

Теперь можно скачать и запустить у себя программу Autoruns http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx . Данная программа покажет Вам все (ну почти все) программы которые загружаются с их путями и производителями. Там идет разделение по категориям или сразу все пути. Запуск лучше осуществлять из под админа. Для начала запускаемую программу лучше не удалять из списка, а просто отключить, убрав голочку.
Далее скачаете и запустите программу Process Explorer http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx . Это очень похожее на диспетчер задач, но дает гораздо больше информации по запущенным процессам. В частности можно определить какая программа запустила данный процесс. По этой программе и просмотрите результаты Ваших действий.

Автор: Поломался windows Воскресенье, 26 Октября 2008, 15:56

оказывается что-то живёт у меня в системе до сих пор

перепробывал все предложенные вами утилиты. что-то ничего не помогло. вобщем переустановлю windows.
+появились какие-то непонятные вещи в автозагрузке...

Автор: zzsnn Воскресенье, 26 Октября 2008, 18:26

Информация

Опасный бэкдор-трояна, которая выполняется в фоновом режиме и позволяет удаленный доступ к компьютеру системы.
Файл
<System> \ Brastk.exe
<System> \ Delself.bat
<System> \ Dllcache \ beep.sys
<System> \ Dllcache \ figaro.sys

Реестр
Создано реестра:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0]
1208 = 0x00000000
2500 = 0x00000003
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1]
1208 = 0x00000000
2500 = 0x00000003
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 2]
1208 = 0x00000000
2500 = 0x00000003
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3]
1208 = 0x00000000
2500 = 0x00000003
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 4]
1208 = 0x00000000
2500 = 0x00000003
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
brastk = "% System% \ brastk.exe"

[HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main]
Включить расширения браузера = "да"
Поиск Бар = "http://www.google.com/ie"
[HKEY_CURRENT_USER \ Software \ Microsoft \ Security центр]
AntiVirusDisableNotify = 0x00000001
FirewallDisableNotify = 0x00000001
UpdatesDisableNotify = 0x00000001

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
brastk = "% System% \ brastk.exe"
Реестра были изменены:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main]
Default_Search_URL = "http://www.google.com/ie"
Поиск = "http://www.google.com"
Стартовая страница = "http://www.google.com"
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Поиск]
SearchAssistant = "http://www.google.com"
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0]
1201 = 0x00000000
1804 = 0x00000001
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1]
1201 = 0x00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 2]
1201 = 0x00000000
1804 = 0x00000001
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3]
1201 = 0x00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 4]
1200 = 0x00000000
1201 = 0x00000000
1608 = 0x00000000
1804 = 0x00000001
[HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main]
Стартовая страница = "http://www.google.com"
Поиск = "http://www.google.com"

ВНИМАНИЕ
После того, как вирус, установленных на вашем компьютере, она будет подключаться к http://do-scan-progress.com/?wmid=1058&l=33&it=2&s=1 и пытается загрузить файл с именем wini10581.exe, ставит его в Windows каталога и устанавливает называемого применения XP AntiSpyware 2008 (или 2009) или XP AntiVirus 2008 или 2009 год

Возможно поможет http://www.net-studio.org/software/BrastkRemover.rar. Возможно попробовать из-под другой оси с СD войти и подчистить сначала файлы, а потом из под безопасного режима реестр. И ни в коем случае не работать в инете. Дорого обойдется.

Еще возможно http://74.125.93.104/translate_c?hl=ru&sl=en&u=http://www.incodesolutions.com/removeitent.php&prev=/search%3Fq%3Dbrastk.exe%26hl%3Dru%26client%3Dopera%26rls%3Dru%26hs%3DYT7&usg=ALkJrhjt1a4V05_kMXdDd0XZn--ngf3o-Q тут ограниченный по времени использования антитрояновская пргограмма, они хвастались что бьют эту тварь влет
А тут вообще описание этой твари и тоже предлагается программа для леченияю Перевод через Гугль, что бы понятно. http://translate.google.com/translate?hl=ru&sl=en&u=http://www.prevx.com/filenames/1701361749031264050-0/BRASTK2EEXE.html&sa=X&oi=translate&resnum=7&ct=result&prev=/search%3Fq%3Dbrastk.exe%26hl%3Dru%26client%3Dopera%26rls%3Dru%26hs%3DYT7

Автор: Denesis Пятница, 05 Декабря 2008, 19:42

Меня приглашали к такому компу, где был такой вирус. Проследил систему через AVZ, просмотрел, откуда запускается. Запускался он вместе с библиотекаи Проводника, т.е. из под него. Это был кейлоггер. Он на компе 2 гига логов насобирал. Но так, как инета там не было - все в системный каталог складировало.