Trojan-Spy.Win32.Zbot.mgs

[caxalex]

Подсказка ребятам из Лабратории -- я нарыл в утилу netcfg именно в рабочей папке антивируса (а с помощью ее можно инсталить сервисы и протоколы) -- при установке вы же устанавливаете драйвер klim... так же можно и переинсталлить и стд. сервисы

netcfg -v -u ms_server

netcfg -v -u ms_msclient

netcfg -l %windir%\inf\netmscli.inf -c s -i ms_msclient

netcfg -l %windir%\inf\netserv.inf -c s -i ms_server

 

(я правда использовал эту утилу из набора WinPE)//

 

По поводу звука и внешнего вида -- сервисы audioserv и themes работают от имени процесса svchost...

[Elric]

у меня сеть на 60 машин, на 30 из них стоит Семантек, на 30 - Каспер 6

все где Каспер обновились с баз cumul в понедельник в 12.00, вечером понедельника пострадала одна машина, пользователь удалил svchost.exe (из dllcache тоже)

и у него пропала сеть, ничего понять не мог, восстановление не работает, кнопки ввода в сеть (идентификация) не активны.

утром во вторник вторая машина полетела. симптомы такие же.

слава Богу успел на остальных машинах ввести этот файл в доверенную зону, чтобы кав его не трогал.

прочитал форумы и пришел в УЖАС!!!!

на обеих больных машинах стоят Win XP SP2, на остальных, которые остались не зараженные, SP2 и SP3.

 

потом почитал внимательнее все.

далее РЕШИЛ проблему следующим образом!!!!:

 

1. Скачал с форума утилитку svchost_cure.bat, запустил ее, как было описано (Записать ее нужно на CD и запустить svchost_cure.bat на проблемной машине. С флешки работать не будет.

Если на проблемном компьютере базы были обновлены ранее, чем вчера в 16:00 MSK, то перед запуском bat-файла необходимо выключить Антивирус. После перезагрузки компьютера, не запуская Постоянную защиту Антивируса, обновите базы и потом загрузите Антивирус) - этим восстановил svchost.exe

2.Сеть все равно не активна. в логах Каспера посмотрел какие он затер ветки реестра, восстановил их с рабочего компа с такой же рабочей конфигурацией и системой. (если нужно позже могу скинуть ветки реестра)

3. в сеть по прежнему не заходит, т.е. не срабатывают две ветки реестра

HKLM\System\ControlSet001\Services\lanmanserver\lanmanserver

HKLM\System\ControlSet001\Services\lanmanworkstation\lanmanworkstation

и

HKLM\System\ControlSet002\Services\lanmanserver\lanmanserver

HKLM\System\ControlSet002\Services\lanmanworkstation\lanmanworkstation

 

4. далее поступил так, как описал один форумчанин - можно решить проблему со службами "Сервер" и "Рабочая станция" методом переустановки в свойствах сетевого подключения "Клиент для сетей" и "Служба доступа к файлам и принтерам" -- востанавливает правильные значения для раздела реестра linkage ключей bind, export, route. (именно удалить и установить, а не просто снять галки)

 

5.перезагрузил машину - сеть доступна, все сетевые диски и программы тоже!!!

 

желаю всем успеха, надеюсь кому-то помог!

Edited February 11, 2009 by Elric

[Vowan_RnD]

Поступил точно также, как предыдущий форумчанин, 5 машин уже вылечил.

 

[Mort2]

Отключаем антивирус

Ставим утилиту

Удаляем сетевую карту

Перезагружаемся

Определяется сетевая и все работет (IP руками прописать)

 

Спасибо всем, кто помог!!!!!

[black_omicron]

Всем огромное спасибо! :bravo: :bravo: :bravo:

Метод работает!!!

 

Тем, кто восстанавливал систему с диска:

 

Проверяйте, как работает обращение к сетевым принтерам!

У меня после восстановления сеть заработала полностью, а сетевые принтеры не работают...

[Natalia Pasynkova]

Всем огромное спасибо! :bravo: :bravo: :bravo:

Метод работает!!!

Какой именно? Здесь много методов описано ...

[winterheart]

Люди, процесс восстановления реестра хорошо расписан у MS: http://support.microsoft.com/kb/307545

[Alexander Ilin]

Отключаем антивирус

Ставим утилиту

Удаляем сетевую карту

Перезагружаемся

Определяется сетевая и все работет (IP руками прописать)

 

Спасибо всем, кто помог!!!!!

Служба spool'ера стартует?

 

[netlink]

Всем привет. Бъёмся второй день над этой проблемой. ОДин комп спасли вроде бы.

Поле применения первого патча, востанавливающего svchost.exe комп стал загружаться. Второй патч, BankM.exe не внёс никаких изменений в реестр (я ожидал увидеть там раздел Linkage)... После удаления и вновь установки клиента для сетей майкрософт и службы доступа к файлам и принтеров раздел создался и заработала служба сервер и обозреватель компьютеров. Но когда заходишь в службу сервер то ругается на неверный дескриптер интерфейса. Видать остался какой-то мусор. сетевые диски видит. Подключать их можно.

 

PS: Хм... и почему у майкрософта нет утилиты по проверки целостности реестра......

[Elric]

Всем привет. Бъёмся второй день над этой проблемой. ОДин комп спасли вроде бы.

Поле применения первого патча, востанавливающего svchost.exe комп стал загружаться. Второй патч, BankM.exe не внёс никаких изменений в реестр (я ожидал увидеть там раздел Linkage)... После удаления и вновь установки клиента для сетей майкрософт и службы доступа к файлам и принтеров раздел создался и заработала служба сервер и обозреватель компьютеров. Но когда заходишь в службу сервер то ругается на неверный дескриптер интерфейса. Видать остался какой-то мусор. сетевые диски видит. Подключать их можно.

 

PS: Хм... и почему у майкрософта нет утилиты по проверки целостности реестра......

 

 

попробуйте еще восстановить остальные ветки реестра

[chas99]

а что мешает пользоваться бесплатной программой

ERUNT The Emergency Recovery Utility NT Registry Backup and Restore for Windows NT/2000/2003/XP/Vista

http://www.larshederer.homepage.t-online.de/erunt/

раз установил, добавил в автозагрузку и ... =)

 

[netlink]

Elric,

 

а какие ещё остались?

[Elric]

Elric,

 

а какие ещё остались?

 

я восстанавливал вот эти:

HKLM\System\ControlSet001\Services\Alerter\Alerter

HKLM\System\ControlSet001\Services\AppMgmt\AppMgmt

HKLM\System\ControlSet001\Services\AudioSrv\AudioSrv

HKLM\System\ControlSet001\Services\BITS\BITS

HKLM\System\ControlSet001\Services\Browser\Browser

HKLM\System\ControlSet001\Services\CryptSvc\CryptSvc

HKLM\System\ControlSet001\Services\DcomLaunch\DcomLaunch

HKLM\System\ControlSet001\Services\Dhcp\Dhcp

HKLM\System\ControlSet001\Services\dmserver\dmserver

HKLM\System\ControlSet001\Services\Dnscache\Dnscache

HKLM\System\ControlSet001\Services\ERSvc\ERSvc

HKLM\System\ControlSet001\Services\EventSystem\EventSystem

HKLM\System\ControlSet001\Services\FastUserSwitchingCompatibility\FastUserSwitchingCompatibility

HKLM\System\ControlSet001\Services\helpsvc\helpsvc

HKLM\System\ControlSet001\Services\HidServ\HidServ

HKLM\System\ControlSet001\Services\HTTPFilter\HTTPFilter

HKLM\System\ControlSet001\Services\lanmanserver\lanmanserver

HKLM\System\ControlSet001\Services\lanmanworkstation\lanmanworkstation

HKLM\System\ControlSet001\Services\LmHosts\LmHosts

HKLM\System\ControlSet001\Services\Messenger\Messenger

HKLM\System\ControlSet001\Services\Netman\Netman

HKLM\System\ControlSet001\Services\Nla\Nla

HKLM\System\ControlSet001\Services\NtmsSvc\NtmsSvc

HKLM\System\ControlSet001\Services\RasAuto\RasAuto

HKLM\System\ControlSet001\Services\RasMan\RasMan

HKLM\System\ControlSet001\Services\RemoteAccess\RemoteAccess

HKLM\System\ControlSet001\Services\RemoteRegistry\RemoteRegistry

HKLM\System\ControlSet001\Services\RpcSs\RpcSs

HKLM\System\ControlSet001\Services\Schedule\Schedule

HKLM\System\ControlSet001\Services\seclogon\seclogon

HKLM\System\ControlSet001\Services\SENS\SENS

HKLM\System\ControlSet001\Services\SharedAccess\SharedAccess

HKLM\System\ControlSet001\Services\ShellHWDetection\ShellHWDetection

HKLM\System\ControlSet001\Services\srservice\srservice

HKLM\System\ControlSet001\Services\SSDPSRV\SSDPSRV

HKLM\System\ControlSet001\Services\stisvc\stisvc

HKLM\System\ControlSet001\Services\TapiSrv\TapiSrv

HKLM\System\ControlSet001\Services\TermService\TermService

HKLM\System\ControlSet001\Services\Themes\Themes

HKLM\System\ControlSet001\Services\TrkWks\TrkWks

HKLM\System\ControlSet001\Services\upnphost\upnphost

HKLM\System\ControlSet001\Services\W32Time\W32Time

HKLM\System\ControlSet001\Services\WebClient\WebClient

HKLM\System\ControlSet001\Services\winmgmt\winmgmt

HKLM\System\ControlSet001\Services\WmdmPmSN\WmdmPmSN

HKLM\System\ControlSet001\Services\Wmi\Wmi

HKLM\System\ControlSet001\Services\wscsvc\wscsvc

HKLM\System\ControlSet001\Services\wuauserv\wuauserv

HKLM\System\ControlSet001\Services\WZCSVC\WZCSVC

HKLM\System\ControlSet001\Services\xmlprov\xmlprov

 

то же самое для ControlSet002

[netlink]

:-[ ]

 

А у меня их и не откуда востанавливать........

 

Интересно, почему это всё слетело к чёртовой бабушке.... ну удалил касперыч svchost.exe.... но причём тут ветки реестра....

Скучаю по добрым временам с ini файлом в каталоге с программой

Спасибо за ответ. Если какие-то ещё косяки найдётся придётся более детально разбираться.... а пока думаю можно и так оставить.

 

chas99, спасибо за совет. Может быть попробую дома на какой-нить виртуальной машинке.... а когда случается какая-нить бяда, вроде этой, то уже не хочется эксперементировать... а так, когда всё хорошо, то лениво

[chas99]

chas99, спасибо за совет. Может быть попробую дома на какой-нить виртуальной машинке.... а когда случается какая-нить бяда, вроде этой, то уже не хочется эксперементировать... а так, когда всё хорошо, то лениво

 

я эту программу ставлю на все ПК, которые попадают на обслуживание...

[UnKnownWarrioR]

Выкладываю утилиту для восстановления svchost.exe на ОС MS Windows XP SP2 Russian, которая и была подвержена этому ложному срабатыванию.

Записать ее нужно на CD и запустить svchost_cure.bat на проблемной машине. С флешки работать не будет.

 

Если на проблемном компьютере базы были обновлены ранее, чем вчера в 16:00 MSK, то перед запуском bat-файла необходимо выключить Антивирус. После перезагрузки компьютера, не запуская Постоянную защиту Антивируса, обновите базы и потом загрузите Антивирус.

 

Прошу писать о любом результате.

 

 

спасибо еслиб не эта утилита, предприятиеб стало на долго, громадное спасибо, хоть как результат временного решения

[Elric]

люди, кто-нибудь делал ту же последовательность действий, как и я?

помогло кому-нибудь?

может можно обойтись без каких-то пунктов, которые я делал?

(сообщения 56 и 67)

Edited February 11, 2009 by Elric

[UnKnownWarrioR]

Кстати хотел бы уточнить, это всёж вирус ? или просто базы каспера глючат и гонят на svchots ? если вирь то как лечить ?

 

кстате svchost_cure + BlankM почти всё восстановило в реестре, в любом случае всё что у нас работало, работает вновь, никаких изменений пока не заметили

[Elric]

Кстати хотел бы уточнить, это всёж вирус ? или просто базы каспера глючат и гонят на svchots ? если вирь то как лечить ?

 

кстате svchost_cure + BlankM почти всё восстановило в реестре, в любом случае всё что у нас работало, работает вновь, никаких изменений пока не заметили

 

ты первый кто пишет о пользе BlankM, все остальные написали что после этой утилиты никаких изменений не было

у всех по разному срабатывает???

[klon_0]

вот в чем загвостка - svchost_cure востановил все... svchost по крайней мере на месте...

включая и праблемы с перефирией... но вот BankM.exe не внес никаких изменений...

и еще осталось непонятным одна вещь - не работает локальная сеть... какая из утилит отвечает за востановсение этой системы.... подскажите пож-ста...

 

P.S.: возможно я не правильно использовал BankM.exe???

[kibozia]

вот в чем загвостка - svchost_cure востановил все... svchost по крайней мере на месте...

включая и праблемы с перефирией... но вот BankM.exe не внес никаких изменений...

и еще осталось непонятным одна вещь - не работает локальная сеть... какая из утилит отвечает за востановсение этой системы.... подскажите пож-ста...

 

P.S.: возможно я не правильно использовал BankM.exe???

 

 

Утилитка svchost.exe прекрасно работает, BankM.exe на фиг не нужна. Антивирус отключать тоже на фиг не надо.

Вот, что надо:

 

1. В настройках антивируса убираем галочку (отключаем файловый антивирус).

2. Запускаем с предварительно записанную на CD svchost_cure (скачать её можно на этом форуме см. выше).

3. Идём в оборудование компьютера и грохаем сетевуху, после этого опять её устанавливаем (кто не просёк то перезагрузите комп - сама найдётся)

4.Перезагружаем машину, проходим в сетевые настройки, ручками указываем IP какие были ранее.

5. Радосно пользуемся, всё работает.

[kibozia]

Да забыл добавить, после всего выше описанного обязательно обновите Касперского и затем верните галочку на место о которой говорил ранее.

[black_omicron]

Привет всем!

 

После использования предыдущей версии svchost_cure система оживала, но возникала проблема с доступом к сетевым папкам расшаренным в домене и с сетевыми устройствами (принтерами). Нашёл комп с WinXP Sp2 с нетронутым реестром и слил оттуда все ветки CurrentConfig\, которые ссылались на svchost.exe

 

Вот новый вариант svchost_cure.rar.

Теперь система установки такая:

 

1. Выключить Касперыча

 

2. Запустить svchost_cure

 

3. Перезапустить комп

 

4. Во время запуска системы как можно быстрее выключить Касперского

 

5. (этот пункт по желанию, но я делал именно так) убить Касперского

 

6. В Панели управления удалить сетевую карту (предварительно записАв все параметры)

 

7. Обновить конфигурацию оборудования

 

8. Восстановить настройки LAN

 

после этого у меня работает ВСЁ :cb_punk:

p.s.

восстановил уже 10 компов, завтра продолжу :supercool:

Edited February 11, 2009 by black_omicron

[vasily987]

Попробовал способ Elric`а, запустилось) Сейчас буду проверять сеть) Единственное - у меня нет сетевого принтера и сетевого-же диска, а народ тут рядом пишет, что с ними тоже проблемы могут оставаться, так что я проверить работоспособность системы с этими вещами не могу, а в дальнейшем не охота на грабли старенькие налететь...

 

Спасибо)

[ZAGS]

кривой кумулятивный апдейт раздается до сих пор

 

Техподдержка - браво!