Как вылечить вирус invader

Как вылечить вирус invader thumbnail
  1. 07.01.2009, 00:12

    #1

    Neri вне форума

    Junior Member

    Репутация

    Вес репутации
    40

    Thumbs up Вирус. Invader

    Доброй ночи. Возникла проблема. В произвольный момент работы компьютера KAV 7.0.1.325 выдает сообщение что процес C:WINDOWSsystem32svchost.exe пытается внедриться в другой.
    например лог касперского

    Внедряемый процесс:
    C:WINDOWSsystem32svchost.exe
    ID процесса (PID): 3872

    Попытка внедрения в процесс:
    \?C:WINDOWSsystem32winlogon.exe
    ID процесса (PID): 1024

    Далее внезависимо от выбора( разрешить/добавить в доверенную зону/ заблокировать) пропадают все сетевые подключения, отключить/включить подключения по локальной сети неполучается, на выдергивание сетевого кабеля тоже нету реакции, помогает только перезагрузка, далее через некоторое время процес повторяется. Касперский определяет вирус как Invader, но удалить не может.
    Помогите плс.

  2.  Будь в курсе!

    Будь в курсе!

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram

  3. 07.01.2009, 00:21

    #2

    C:WINDOWSSystem32fatpucxi.dll — пришлите согласно приложения 2 правил …

  4. 07.01.2009, 11:06

    #3

    Neri вне форума

    Junior Member

    Репутация

    Вес репутации
    40

    Цитата Сообщение от V_Bond
    Посмотреть сообщение

    C:WINDOWSSystem32fatpucxi.dll — пришлите согласно приложения 2 правил …

    отослалДобавлено через 10 часов 39 минут

    Небольшое добавление.
    Даже при отключенном интернете через некоторое время вообще пропадает возможность запуска некоторых программ( музыка, видео)

    Последний раз редактировалось Neri; 07.01.2009 в 11:06.

    Причина: Добавлено

  5. 07.01.2009, 13:10

    #4

    Файл чистый… Invader это не вирус, это вердикт проактивной защиты, который говорит о внедрении кода в чужой процесс…

  6. 07.01.2009, 14:34

    #5

    Neri вне форума

    Junior Member

    Репутация

    Вес репутации
    40

    На компьютере есть несдоровая активность. Вчера оставил включенным компьюетр на ночь( интернет выключен) Утром несмог запустить винамп.Добавлено через 1 час 13 минут

    ВОт скрин с логом активности процесса. Это нормальные явления для него?
    https://img442.imageshack.us/my.php?i…8542223ah2.jpg

    Последний раз редактировалось Neri; 07.01.2009 в 14:34.

    Причина: Добавлено

  7. 07.01.2009, 14:38

    #6

    svchost.exe это системный файл…

  8. 07.01.2009, 14:55

    #7

    Neri вне форума

    Junior Member

    Репутация

    Вес репутации
    40

    Я в курсе что это системный файл, НО сугобо на мой взгляд он проявляет нездоровую активность. И после сообщения касперского что процесс пытается получить доступ к другому процессу, даже если я ему это разрешаю у меня пропадают все сетевые подключения, зайти в их свойство тоже не получается, окно со свойствами появляется на долю секунды и исчезает

  9. 07.01.2009, 14:58

    #8

    На скриншоте нет ничего плохого… попробуйте добавить его в ДЗ с пометкой «Проактивная защита»

  10. 07.01.2009, 15:17

    #9

    Neri вне форума

    Junior Member

    Репутация

    Вес репутации
    40

    Хорошо. Спасибо за помошь и разъяснения

  11. 07.01.2009, 17:07

    #10

    fatpucxi.dll файл юниксовый … откуда он ?

  12. 07.01.2009, 23:34

    #11

    Neri вне форума

    Junior Member

    Репутация

    Вес репутации
    40

    Проблема решилась установкой заплатки
    https://www.microsoft.com/downloads/d…displaylang=ru
    Спасибо за помошь.

    fatpucxi.dll подозреваю что длл-ка от бота для lineage

  13. 22.02.2009, 09:49

    #12

    Итог лечения

    Статистика проведенного лечения:

    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены

Источник

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела «Уничтожение вирусов»». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

#1
Как вылечить вирус invader

OFF
 

ArchiMAX

Отправлено 19 Сентябрь 2008 — 09:47

Внедряемый процесс:
C:WINDOWSsystem32winlogon.exe
ID процесса (PID): 788

Читайте также:  Как вылечить молочницу кишечника

Попытка внедрения в процесс:
C:WINDOWSsystem32svchost.exe
ID процесса (PID): 1044

обнаружено: потенциально опасное ПО Invader Процесс: C:WINDOWSsystem32winlogon.exe

При каждом запуске Windows.Невозможна Завершит и Запретит.Только Пропустит.

Сообщение от модератора Kapral

Удалил карантин

Сообщение отредактировал Kapral: 19 Сентябрь 2008 — 11:14

#2
Как вылечить вирус invader

OFF
 

Олег777

Отправлено 19 Сентябрь 2008 — 10:31

Обновлены ли у Вас базы антивируса?
вариантов 2: или у Вас это нормальные родные системные процессы, или это маскирующиеся под них вирусы ( с такой ситуацией я недавно сталкивался).
Обновите базы и проведите полную проверку компьютера. Если вирусов не будет обнаружено, то добавьте эти процессы в доверенную зону.
Результат напишите. Жду.

#3
Как вылечить вирус invader

OFF
 

ТроПа

Отправлено 19 Сентябрь 2008 — 10:38

1.AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO(‘{A30A9115-7DF6-4BCD-9F60-034FBCF1325E}’);
DelBHO(‘{2089BAAB-2BCD-4558-83C8-09A6DE9AC110}’);
QuarantineFile(‘C:WINDOWSsystem32Px.ax’,»);
QuarantineFile(‘C:WINDOWSsystem32khfCstSM.dll’,»);
QuarantineFile(‘C:WINDOWSsystem32ljJDUOeB.dll’,»);
DeleteFile(‘C:WINDOWSsystem32Px.ax’);
DeleteFile(‘C:WINDOWSsystem32ljJDUOeB.dll’);
DeleteFile(‘C:WINDOWSsystem32khfCstSM.dll’);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

Сообщение отредактировал wise-wistful: 19 Сентябрь 2008 — 10:39

Никакого отношения к ЛК не имею. Обычный пользователь. Претензии к ЛК по поводу моих советов прошу не предъявлять. Следовать моим советам или нет — решайте сами.

#4
Как вылечить вирус invader

OFF
 

ArchiMAX

Отправлено 19 Сентябрь 2008 — 10:41

Я обновил его сегодня и провел полную проверку.Нашел 25 вредоносных програм.Trojan,Backdoor и другие.Но немогу обезвредит ПО Invaider сидящий на winlogon.ехе
Это уведомление появляется только при запуске.

#5
Как вылечить вирус invader

OFF
 

Олег777

Отправлено 19 Сентябрь 2008 — 10:58

Так… тогда, пожалуй, попробуйте выполнить проверку из Безопасного режима.
Идея в том, что проактивка просто контролирует активность процессов и предупреждает о возникшем подозрении, что какая-то программа или процесс ведут себя «неправильно». В Вашем случае, это подпрограмма входа в Виндовс.
Процесс показался подозрительным, так как, в теории, родные процессы Винды всегда доверенные
Не скромный вопрос: у Вас Винда лицензионная?
Такое может быть, если у Вас «крякнутая» Винда, где в целях обмана проверки подлинности используется подложный вход в систему.

#6
Как вылечить вирус invader

OFF
 

ArchiMAX

Отправлено 19 Сентябрь 2008 — 11:12

Вот новые логи после выполнение скриптов.

Сообщение от модератора Falcon

Карантин удалил.

Сообщение отредактировал Falcon: 19 Сентябрь 2008 — 16:59

#7
Как вылечить вирус invader

OFF
 

Олег777

Отправлено 19 Сентябрь 2008 — 11:36

Пожалуйста, пришлите для анализа скриншет запущенных на компьютере процессов из Диспетчера Задач.

#8
Как вылечить вирус invader

OFF
 

ArchiMAX

Отправлено 19 Сентябрь 2008 — 12:32

Диспетчер Задач

Сообщение отредактировал ArchiMAX: 19 Сентябрь 2008 — 12:36

#9
Как вылечить вирус invader

OFF
 

Олег777

Отправлено 19 Сентябрь 2008 — 12:51

Ничего страшного в процессах не увидел. если у вас честная лицензионная Винда, то Вы можете добавить эти процессы в доверенную зону.
но перед этим не поленитесь все-таки выполнить полную проверку компьютера — пара процессов все-таки у вас из зоны риска…

#10
Как вылечить вирус invader

OFF
 

Гриша

Отправлено 19 Сентябрь 2008 — 16:59

AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO(‘{2AC745D5-25F1-46C4-8D3C-9BFD43B87386}’);
QuarantineFile(‘C:WINDOWSsystem32CodecBHO.dll’,»);
DeleteFile(‘C:WINDOWSsystem32CodecBHO.dll’);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+’quarantine.zip’);
RebootWindows(true);
end.

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

Логи повторить.

P.S. Invader-это вердикт проактивной защиты,который говорит нам о внедрении одного процесса в другой или какая-то dll внедряется в адресное пространтсво чужого процесса,это не обязательно плохо

#11
Как вылечить вирус invader

OFF
 

Falcon

Отправлено 19 Сентябрь 2008 — 17:02

ArchiMAX
На будущее — файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.

Читайте также:  Как быстро вылечить насморк простуду у детей

[Ego te intus et in cute novi]

#12
Как вылечить вирус invader

OFF
 

ArchiMAX

Отправлено 20 Сентябрь 2008 — 20:54

На будущее — файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.

OK.

#13
Как вылечить вирус invader

OFF
 

Falcon

Отправлено 20 Сентябрь 2008 — 21:02

Ответ из вирлаба пришел?

[Ego te intus et in cute novi]

#14
Как вылечить вирус invader

OFF
 

ArchiMAX

Отправлено 20 Сентябрь 2008 — 21:06

А почему KIS с последними обновлениями не видеть файл Antivirus2009 как вирусом.

#15
Как вылечить вирус invader

OFF
 

Falcon

Отправлено 20 Сентябрь 2008 — 21:10

А почему KIS с последними обновлениями не видеть файл Antivirus2009 как вирусом.

Что за файл?

Ответ из вирлаба пришел?

[Ego te intus et in cute novi]

Источник

* Что такое CC Invader

* Скачать утилиту для удаления CC Invader

* Удалить CC Invader вручную

* Получить проффесиональную тех поддержку

* Читать комментарии

Описание угрозы

Название угрозы

Имя исполняемого файла:

Тип угрозы:

Поражаемые ОС:

CC Invader

(*.*)

Rat

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения CC Invader

CC Invader копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (*.*). Потом он создаёт ключ автозагрузки в реестре с именем CC Invader и значением (*.*). Вы также можете найти его в списке процессов с именем (*.*) или CC Invader.

Если у вас есть дополнительные вопросы касательно CC Invader, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.


Скачать утилиту для удаления

Скачайте эту программу и удалите CC Invader and (*.*) (закачка начнется автоматически):

Скачать Spyhunter для удаления CC Invader и (*.*) сейчас!

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить CC Invader в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

* Удаляет все файлы, созданные CC Invader.

* Удаляет все записи реестра, созданные CC Invader.

* Программа способна защищать файлы и настройки от вредоносного кода.

* Программа может исправить проблемы с браузером и защищает настройки браузера.

* Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.

* Антивирусная поддержка в режиме 24/7 входит в комплект поставки.


Скачайте утилиту для удаления CC Invader от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления CC Invader.. Утилита для удаления CC Invader найдет и полностью удалит CC Invader и все проблемы связанные с вирусом CC Invader. Быстрая, легкая в использовании утилита для удаления CC Invader защитит ваш компьютер от угрозы CC Invader которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления CC Invader сканирует ваши жесткие диски и реестр и удаляет любое проявление CC Invader. Обычное антивирусное ПО бессильно против вредоносных таких программ, как CC Invader. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с CC Invader и (*.*) (закачка начнется автоматически):

Скачать утилиту для удаления CC Invader и (*.*) сейчас!

Функции

* Удаляет все файлы, созданные CC Invader.

* Удаляет все записи реестра, созданные CC Invader.

* Программа может исправить проблемы с браузером.

* Иммунизирует систему.

* Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.

* Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с CC Invader и удалить CC Invader прямо сейчас!

Оставьте подробное описание вашей проблемы с CC Invader в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с CC Invader. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления CC Invader.

Читайте также:  Как вылечит потливость головы

Как удалить CC Invader вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с CC Invader, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены CC Invader.

Чтобы избавиться от CC Invader, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

no information

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления CC Invader для безопасного решения проблемы.

2. Удалите следующие папки:

no information

3. Удалите следующие ключи иили значения ключей реестра:

  • Key: softwaremicrosoftwindowscurrentversionrunsysreg98
    Value: @
  • Key: softwaremicrosoftwindowscurrentversionrunsystemregistry
    Value: @
  • Key: softwaremicrosoftwindowscurrentversionrunsystemregistry95
    Value: @
  • Key: softwaremicrosoftwindowscurrentversionrunsystemregistry98
    Value: @

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления CC Invader для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

CC Invader иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Stronghold AntiMalware для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие CC Invader. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

  • Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».

  • Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».

  • Выберите вкладку Дополнительно

  • Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

  • Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

  • После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Google Chrome

  • Найдите папку установки Google Chrome по адресу: C:Users»имя пользователя»AppDataLocalGoogleChromeApplicationUser Data.

  • В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

  • Запустите Google Chrome и будет создан новый файл Default.

  • Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Mozilla Firefox

  • Откройте Firefox

  • В меню выберите Помощь > Информация для решения проблем.

  • Кликните кнопку Сбросить Firefox.

  • После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Информация предоставлена: Aleksei Abalmasov

Most wanted threat: zlob trojan

Следующее описаниее: Central-24 Dialer »

« Вернуться в каталог

Источник