Svchost 90-100% CPU Usage

[Mad Scientist]

Смысл открытия данной темы - если это какая-то новая модификация зловреда - может быть эта информация окажется полезной, если это известный зловред - то тему в топку.

Стандартные сукрипты - "сбор инор-ции для раздела помогите"+"скрипт сбора неопознанных и подозрительных файлов"= зависание AVZ(4.29).
Приаттачен протокол исследования системы.

до исследования системы было сделано:
Nod32 v2 базы за 01.08.2008 - нашел неск вирей, они были прибиты +
sptd*.sys был удален из папки system32/drivers/ (анинстален даемон тулз)
ntos.exe - удален

Внешние проявления - загрузка svchost'ом CPU на 90-95%
+ перехват нескольких функций из библиотек wininet user32 ntdll ws2_32.
Может быть эта информация будет для Вас полезной. Спасибо.

[wise-wistful]

Mad Scientist, если есть такая возможность отключите восстановление системы.

sptd*.sys был удален из папки system32/drivers/ (анинстален даемон тулз)
ntos.exe - удален

Вообщето и C:\WINDOWS\System32\Drivers\sptd.sys на месте и ntos.exe то же присутствует, что значительно хуже.

выполните в авз...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-, MsServer');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-, IMJPMIG8.2');
 RebootWindows(true);
end.

компьютер перезагрузится

потом выполните в авз ...

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('msime82.exe','');
 QuarantineFile('msfun80.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('msfun80.exe');
 DeleteFile('msime82.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

карантин вышлите согласно пункта 3 правил.

А лог HJT где?

[Mad Scientist]

HijackThis под рукой не было, т.к. был в гостях, с собой был только АВЗ, опять же QuarantineFile привело к повисанию АВЗ, отредактировал скрипт убрав помещение в карантин, и похоже, какой-то из этих екзешников перестал грузиться с автозагрузкой, внедрять длл в svchost (как я это понимаю), svchost перестало колбасить.Единственное что насторожило в этой истории - это то, что в менеджере автозапуска невозможно было отредактировать запись в реестре, отвечающую за запуск ntos.exe - как это сделано в АВЗ для системных файлов.
Людям будет легче жить, но я не успел, они уже записали и передали своим знакомым диски, а один из вирей был файловым)). Правда эти знакомые уехали в Питер, так что думаю история продолжиться но уже без моего участия)).
Большое спасибо.

Надо было ERD Commander взять и скопировать эти файлы, под рукой не было, а ходить домой - боюсь у людей была бы неадекватная реакция))

[wise-wistful]

Логи повторите посмотрим, что там.

[Mad Scientist]

Будет возможность - попробую. Еще раз спасибо.