Показано с 1 по 18 из 18.

Svchost взбесился (заявка № 17454)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60

    Thumbs up Svchost взбесился

    Доброго времени суток.

    Во-первых, спасибо огромное - большое дело делаете!

    Во-вторых - по сути:
    Маленькая предыстория. У меня вчера хакнули сайт (sql injection) - редирект на какой-то мп3-шный форум, на котором в комп захотел залезть троян. Антивирь (Avast) его, якобы, остановил, но с тех пор svchost.exe постоянно требует от Аутпоста связи с самыми разнообразными адресами. Разрешать, блокировать, или создавать правила - бесполезно: через несколько секунд он ломится по новому адресу. Если, после автосоздания правил переключить Аутпост в запрещающий режим - через некоторое время пропадает интернет. Если разрешить svchost_у выполнять любые действия - начинается интенсивная закачка/скачка неизвестно чего. Постоянно нажимать на "блокировать однократно" ни к чему не приводит - полсекунды спустя он просит новый адрес, при этом антивирь время от времени кричит, что в папке drivers появился троян, который, кстати, успешно удаляет, но всё повторяется снова.

    Выполнил всю вашу инструкцию. Логи прилагаются.
    Очень надеюсь на вашу помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nsf45\0000', 'CSConfigFlags', '1');
     QuarantineFile('C:\WINDOWS\system32\Drivers\TBPanel.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiMini.sys','');
     QuarantineFile('C:\WINDOWS\nvoclock.sys','');
     BC_DeleteSvc('Nsf45');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Nsf45.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.

  4. #3
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Выполнил. Шлю.

    В папке AVZ4 файла boot_clr.log нет...
    Последний раз редактировалось Alex_Goodwin; 02.02.2008 в 20:20.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Файл сохранён как 080202_112234_virus_47a4a6da978de.zip
    Размер файла 35729
    MD5 a6abc4092e6c529b73d06af28bc278a8

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Приношу свои извинение за отправку "вирусного" архива не туда. Исправил. Послал через страничку отправки. Жду ответа, и, если можно, краткого комментария, почему, например, пофиксенные 3 или 4 файла не опрелелялись мальверными ни антивирем, ни антиспаем?
    Последний раз редактировалось Savransky; 02.02.2008 в 21:58.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('Nsf45', 4);
     StopService('Nsf45');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nsf45.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nsf45.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     DeleteService('Nsf45');
     BC_ImportALL;
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Nsf45.sys');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17454

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
    O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
    Повторите логи
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Готово. И всё же:
    ...если можно, краткого комментария, почему, например, пофиксенные 3 или 4 файла не опрелелялись мальверными ни антивирем, ни антиспаем?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
    в логах ничего зловредного ...
    что из этого используете ?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    пофиксенные 3 или 4 файла не опрелелялись мальверными ни антивирем, ни антиспаем?
    Это какие файлы? Уточните
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Цитата Сообщение от akoK Посмотреть сообщение
    Это какие файлы? Уточните
    вот эти:
    QuarantineFile('C:\WINDOWS\system32\Drivers\TBPane l.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus .sys','');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiMin i.sys','');
    QuarantineFile('C:\WINDOWS\nvoclock.sys','')

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Они не пофиксились, а просто скопировались в карантин.
    Последний раз редактировалось Alex_Goodwin; 02.02.2008 в 22:44. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
    Эти две строчки не фиксятся... после перезагрузки появляются снова
    Цитата Сообщение от V_Bond Посмотреть сообщение
    в логах ничего зловредного ...
    что из этого используете ?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Думаю, что никакие.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    стрики не фиксятся из- за Spybot ... деинсталируйте .... при наличии нормального антивируса в нем нет небходимости ....
    увас есть локальная сеть ?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от Savransky Посмотреть сообщение
    Эти две строчки не фиксятся... после перезагрузки появляются снова
    Оставьте, они легитимные. От Windows Live Messenger.

  16. #15
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    у вас есть локальная сеть ?
    нет

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Оставьте, они легитимные. От Windows Live Messenger.
    смысла их оставлять нет .... месенжер отключен ...

    Добавлено через 2 минуты

    если нет локальной сети ....
    выполните скрипт....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Последний раз редактировалось V_Bond; 02.02.2008 в 23:23. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    52
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    смысла их оставлять нет .... месенжер отключен
    Мессенджер включён, я отключал его перед выполнением скриптов и "фиксаньем".

    Спасибо всем большое. Svchost, вроде, угомонился.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\nsf45.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm)


  • Уважаемый(ая) Savransky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Компьютер "взбесился".
      От SeNSOR AV в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 23.08.2011, 08:05
    2. Помогите взбесился Svchost.exe
      От zerool в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.02.2010, 19:16
    3. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    4. Eset взбесился ((
      От TigraLu в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.10.2008, 00:25
    5. Помогтите!!! WINLOGON.EXE взбесился!!!!
      От Rodriguez в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.03.2007, 23:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00058 seconds with 19 queries