Как вылечить вирус invader

07.01.2009, 00:12
#1
Junior Member
Вес репутации
40Вирус. Invader
Доброй ночи. Возникла проблема. В произвольный момент работы компьютера KAV 7.0.1.325 выдает сообщение что процес C:WINDOWSsystem32svchost.exe пытается внедриться в другой.
например лог касперскогоВнедряемый процесс:
C:WINDOWSsystem32svchost.exe
ID процесса (PID): 3872Попытка внедрения в процесс:
\?C:WINDOWSsystem32winlogon.exe
ID процесса (PID): 1024Далее внезависимо от выбора( разрешить/добавить в доверенную зону/ заблокировать) пропадают все сетевые подключения, отключить/включить подключения по локальной сети неполучается, на выдергивание сетевого кабеля тоже нету реакции, помогает только перезагрузка, далее через некоторое время процес повторяется. Касперский определяет вирус как Invader, но удалить не может.
Помогите плс.Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
07.01.2009, 00:21
#2
C:WINDOWSSystem32fatpucxi.dll — пришлите согласно приложения 2 правил …
07.01.2009, 11:06
#3
Junior Member
Вес репутации
40Сообщение от V_Bond
C:WINDOWSSystem32fatpucxi.dll — пришлите согласно приложения 2 правил …
отослалДобавлено через 10 часов 39 минут
Небольшое добавление.
Даже при отключенном интернете через некоторое время вообще пропадает возможность запуска некоторых программ( музыка, видео)Последний раз редактировалось Neri; 07.01.2009 в 11:06.
Причина: Добавлено
07.01.2009, 13:10
#4
Файл чистый… Invader это не вирус, это вердикт проактивной защиты, который говорит о внедрении кода в чужой процесс…
07.01.2009, 14:34
#5
Junior Member
Вес репутации
40На компьютере есть несдоровая активность. Вчера оставил включенным компьюетр на ночь( интернет выключен) Утром несмог запустить винамп.Добавлено через 1 час 13 минут
ВОт скрин с логом активности процесса. Это нормальные явления для него?
https://img442.imageshack.us/my.php?i…8542223ah2.jpgПоследний раз редактировалось Neri; 07.01.2009 в 14:34.
Причина: Добавлено
07.01.2009, 14:38
#6
svchost.exe это системный файл…
07.01.2009, 14:55
#7
Junior Member
Вес репутации
40Я в курсе что это системный файл, НО сугобо на мой взгляд он проявляет нездоровую активность. И после сообщения касперского что процесс пытается получить доступ к другому процессу, даже если я ему это разрешаю у меня пропадают все сетевые подключения, зайти в их свойство тоже не получается, окно со свойствами появляется на долю секунды и исчезает
07.01.2009, 14:58
#8
На скриншоте нет ничего плохого… попробуйте добавить его в ДЗ с пометкой «Проактивная защита»
07.01.2009, 15:17
#9
Junior Member
Вес репутации
40Хорошо. Спасибо за помошь и разъяснения
07.01.2009, 17:07
#10
fatpucxi.dll файл юниксовый … откуда он ?
07.01.2009, 23:34
#11
Junior Member
Вес репутации
40Проблема решилась установкой заплатки
https://www.microsoft.com/downloads/d…displaylang=ru
Спасибо за помошь.fatpucxi.dll подозреваю что длл-ка от бота для lineage
22.02.2009, 09:49
#12
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Источник
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела «Уничтожение вирусов»». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
#1
OFF
ArchiMAX
Отправлено 19 Сентябрь 2008 — 09:47
Внедряемый процесс:
C:WINDOWSsystem32winlogon.exe
ID процесса (PID): 788
Попытка внедрения в процесс:
C:WINDOWSsystem32svchost.exe
ID процесса (PID): 1044
обнаружено: потенциально опасное ПО Invader Процесс: C:WINDOWSsystem32winlogon.exe
При каждом запуске Windows.Невозможна Завершит и Запретит.Только Пропустит.
Сообщение от модератора Kapral
Удалил карантин
Сообщение отредактировал Kapral: 19 Сентябрь 2008 — 11:14
#2
OFF
Олег777
Отправлено 19 Сентябрь 2008 — 10:31
Обновлены ли у Вас базы антивируса?
вариантов 2: или у Вас это нормальные родные системные процессы, или это маскирующиеся под них вирусы ( с такой ситуацией я недавно сталкивался).
Обновите базы и проведите полную проверку компьютера. Если вирусов не будет обнаружено, то добавьте эти процессы в доверенную зону.
Результат напишите. Жду.
#3
OFF
ТроПа
Отправлено 19 Сентябрь 2008 — 10:38
1.AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO(‘{A30A9115-7DF6-4BCD-9F60-034FBCF1325E}’);
DelBHO(‘{2089BAAB-2BCD-4558-83C8-09A6DE9AC110}’);
QuarantineFile(‘C:WINDOWSsystem32Px.ax’,»);
QuarantineFile(‘C:WINDOWSsystem32khfCstSM.dll’,»);
QuarantineFile(‘C:WINDOWSsystem32ljJDUOeB.dll’,»);
DeleteFile(‘C:WINDOWSsystem32Px.ax’);
DeleteFile(‘C:WINDOWSsystem32ljJDUOeB.dll’);
DeleteFile(‘C:WINDOWSsystem32khfCstSM.dll’);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
Сообщение отредактировал wise-wistful: 19 Сентябрь 2008 — 10:39
Никакого отношения к ЛК не имею. Обычный пользователь. Претензии к ЛК по поводу моих советов прошу не предъявлять. Следовать моим советам или нет — решайте сами.
#4
OFF
ArchiMAX
Отправлено 19 Сентябрь 2008 — 10:41
Я обновил его сегодня и провел полную проверку.Нашел 25 вредоносных програм.Trojan,Backdoor и другие.Но немогу обезвредит ПО Invaider сидящий на winlogon.ехе
Это уведомление появляется только при запуске.
#5
OFF
Олег777
Отправлено 19 Сентябрь 2008 — 10:58
Так… тогда, пожалуй, попробуйте выполнить проверку из Безопасного режима.
Идея в том, что проактивка просто контролирует активность процессов и предупреждает о возникшем подозрении, что какая-то программа или процесс ведут себя «неправильно». В Вашем случае, это подпрограмма входа в Виндовс.
Процесс показался подозрительным, так как, в теории, родные процессы Винды всегда доверенные
Не скромный вопрос: у Вас Винда лицензионная?
Такое может быть, если у Вас «крякнутая» Винда, где в целях обмана проверки подлинности используется подложный вход в систему.
#6
OFF
ArchiMAX
Отправлено 19 Сентябрь 2008 — 11:12
Вот новые логи после выполнение скриптов.
Сообщение от модератора Falcon
Карантин удалил.
Сообщение отредактировал Falcon: 19 Сентябрь 2008 — 16:59
#7
OFF
Олег777
Отправлено 19 Сентябрь 2008 — 11:36
Пожалуйста, пришлите для анализа скриншет запущенных на компьютере процессов из Диспетчера Задач.
#8
OFF
ArchiMAX
Отправлено 19 Сентябрь 2008 — 12:32
Диспетчер Задач
Сообщение отредактировал ArchiMAX: 19 Сентябрь 2008 — 12:36
#9
OFF
Олег777
Отправлено 19 Сентябрь 2008 — 12:51
Ничего страшного в процессах не увидел. если у вас честная лицензионная Винда, то Вы можете добавить эти процессы в доверенную зону.
но перед этим не поленитесь все-таки выполнить полную проверку компьютера — пара процессов все-таки у вас из зоны риска…
#10
OFF
Гриша
Отправлено 19 Сентябрь 2008 — 16:59
AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO(‘{2AC745D5-25F1-46C4-8D3C-9BFD43B87386}’);
QuarantineFile(‘C:WINDOWSsystem32CodecBHO.dll’,»);
DeleteFile(‘C:WINDOWSsystem32CodecBHO.dll’);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+’quarantine.zip’);
RebootWindows(true);
end.
Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.
Логи повторить.
P.S. Invader-это вердикт проактивной защиты,который говорит нам о внедрении одного процесса в другой или какая-то dll внедряется в адресное пространтсво чужого процесса,это не обязательно плохо
#11
OFF
Falcon
Отправлено 19 Сентябрь 2008 — 17:02
ArchiMAX
На будущее — файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.
[Ego te intus et in cute novi]
#12
OFF
ArchiMAX
Отправлено 20 Сентябрь 2008 — 20:54
На будущее — файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.
OK.
#13
OFF
Falcon
Отправлено 20 Сентябрь 2008 — 21:02
Ответ из вирлаба пришел?
[Ego te intus et in cute novi]
#14
OFF
ArchiMAX
Отправлено 20 Сентябрь 2008 — 21:06
А почему KIS с последними обновлениями не видеть файл Antivirus2009 как вирусом.
#15
OFF
Falcon
Отправлено 20 Сентябрь 2008 — 21:10
А почему KIS с последними обновлениями не видеть файл Antivirus2009 как вирусом.
Что за файл?
Ответ из вирлаба пришел?
[Ego te intus et in cute novi]
Источник
Что такое CC Invader
Скачать утилиту для удаления CC Invader
Удалить CC Invader вручную
Получить проффесиональную тех поддержку
Читать комментарии
Описание угрозы
Название угрозы
Имя исполняемого файла:
Тип угрозы:
Поражаемые ОС:
CC Invader
(*.*)
Rat
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения CC Invader
CC Invader копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (*.*). Потом он создаёт ключ автозагрузки в реестре с именем CC Invader и значением (*.*). Вы также можете найти его в списке процессов с именем (*.*) или CC Invader.
Если у вас есть дополнительные вопросы касательно CC Invader, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите CC Invader and (*.*) (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить CC Invader в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные CC Invader.
Удаляет все записи реестра, созданные CC Invader.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления CC Invader от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления CC Invader.. Утилита для удаления CC Invader найдет и полностью удалит CC Invader и все проблемы связанные с вирусом CC Invader. Быстрая, легкая в использовании утилита для удаления CC Invader защитит ваш компьютер от угрозы CC Invader которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления CC Invader сканирует ваши жесткие диски и реестр и удаляет любое проявление CC Invader. Обычное антивирусное ПО бессильно против вредоносных таких программ, как CC Invader. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с CC Invader и (*.*) (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные CC Invader.
Удаляет все записи реестра, созданные CC Invader.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с CC Invader и удалить CC Invader прямо сейчас!
Оставьте подробное описание вашей проблемы с CC Invader в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с CC Invader. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления CC Invader.
Как удалить CC Invader вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с CC Invader, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены CC Invader.
Чтобы избавиться от CC Invader, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
no information
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления CC Invader для безопасного решения проблемы.
2. Удалите следующие папки:
no information
3. Удалите следующие ключи иили значения ключей реестра:
- Key: softwaremicrosoftwindowscurrentversionrunsysreg98
Value: @- Key: softwaremicrosoftwindowscurrentversionrunsystemregistry
Value: @- Key: softwaremicrosoftwindowscurrentversionrunsystemregistry95
Value: @- Key: softwaremicrosoftwindowscurrentversionrunsystemregistry98
Value: @
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления CC Invader для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
CC Invader иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Stronghold AntiMalware для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие CC Invader. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:Users»имя пользователя»AppDataLocalGoogleChromeApplicationUser Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Для Mozilla Firefox
Откройте Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Информация предоставлена: Aleksei Abalmasov
Most wanted threat: zlob trojan
Следующее описаниее: Central-24 Dialer »
« Вернуться в каталог
Источник