Здравствуйте!
Недавно начались аномалии с компом, обнаружение процессов svchost.exe от имени пользователя, загрузка им ЦП по 25 % и т. д. Давно хотел написать тут, но все время справлялся стандартной инструкцией с проверкой системы MBAM, CureIT! и AVZ + пользовалься своей Авирой, каждый находил по 1-7 подозрительных файлов и удалял/помещал в карантин, и вроде все проблемы решились, svchost.exe от имени пользователя пропал, систему ничего не грузит, но вчера начались новые "приключения".
Сначала у меня просто грохнулся браузер Mozilla, после открытия которого все мои 100500 вкладок были закрыти, осталась лишь одна - что то вроде mail.ru/?ffsputnik=1. Проблема уже в том, что я никогда не захожу на mail. Ладно, далее в диспетчере задач обнаружил 2 svchost.exe от имени пользователя, оба жрали по 25 %, сейчас при запуске компа только 1 так активно себя проявляет. Через Process Explorer обнаружил, что у одного из этих svchost.exe есть подпроцесс avconfig.exe. Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд. CureIT!, avz и MBAM ничего не нашли, авира нашла какие-то 2 файла во временной папке и добавила их в карантин. На днях, кстати, она же нашла некий файл Photo.class и так же отправила в карантин.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) TommyeAsY, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пока ждал ответ, удалил 2 файла, оставив карантин. Сделал лог полного сканирования, помимо карантина еще что-то нашел во временной папке, удалил сейчас и его и перезагрузился, снова поставлю MBAM на сканирование. Помимо этого, не стал отключать авиру на момент проверки + повысил уровень безопасности, пока MBAM сканировал весь комп, авира пожаловалась на еще один файл временной папки:
09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
[ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
[ИНФО] У Вас нет прав для доступа к файлу.
09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
[ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
[ИНФО] У Вас нет прав для доступа к файлу.
Кстати, стал замечать новые папки со странными названиями на диске C: K6OnBf903MeGJaw, kBawvXSGcz0hr5h, mVgh5wdcjNjmTYr и qUecbDfhmvgQ6DL, в первой есть файл bplglstcch.cache размером 377 КБ, в трех других по 2 файла: klpclst.dat и wndsksi.inf, оба по 1 КБ, .inf файл скрытый.
- Очистите темп-папки, кэш браузеров, cookies и корзину.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Все сделал, после перезагрузки и повторного выполнения скрипта АВЗ сказал, что частоиспользуемые уязвимости не обнаружены(до этого было 12). С проблемой все то же, что и было до закрытия уязвимостей - аномалии пока не проявляются никак - с тех пор, как я выполнил первый скрипт в теме процессов svchost.exe, запущенных от имени пользователя и пожирающих 25-50% больше нет, а в директории диска C до сих пор указанные мною выше папки, которые я не трогал, кроме mVgh5wdcjNjmTYr - ее удалил скрипт, данный мне thyrex-ом.
Btw, вспомнил, ранее несколько раз был кратковременный обрыв интернет соединения с последующей системной ошибкой Windows и конфликте с ip-адресом других компьютеров. Дома юзаю проводной роутер, раздающий инет на 3 компа, DHCP.
Последний раз редактировалось TommyeAsY; 09.03.2012 в 23:18.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: