-
Junior Member
- Вес репутации
- 54
подозрение на маскровку ключа реестра или драйвера
собственно по теме - после проверки утилитой avz вот такое сообщение, их два имена: kozxhuy и pblhr, компьютер иногда "подвисает" и при выключении или ребуте сообщение об ошибке по авдресу 0x0000xxx в модуле svchost. логи после выполнения скриптов прилагаю
Последний раз редактировалось center; 24.03.2015 в 13:39.
Причина: еще лог
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) center, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Временно отключите драйверы эмуляторов дисков.
- Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
- Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
- После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
- После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- Подробную инструкцию читайте в руководстве
-
-
Junior Member
- Вес репутации
- 54
gmer
Сообщение от
mike 1
- Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Временно отключите драйверы эмуляторов дисков.
- Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
- Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
- После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
- После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- Подробную инструкцию читайте в руководстве
лог после сканирования gmer
-
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service kozxhuy
gmer.exe -del service pblhr
gmer.exe -del file "C:\WINDOWS\system32\mgrbw.dll"
gmer.exe -del file "C:\Program Files\Internet Explorer\mgrbw.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pblhr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kozxhuy"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
mike 1
Сохраните приведённый ниже текст в файл
cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service kozxhuy
gmer.exe -del service pblhr
gmer.exe -del file "C:\WINDOWS\system32\mgrbw.dll"
gmer.exe -del file "C:\Program Files\Internet Explorer\mgrbw.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pblhr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kozxhuy"
gmer.exe -reboot
И запустите сохранённый пакетный файл
cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
Здравствуйте!
скрипт запустил, он поудалял руткиты, готовлю новый лог gmer.
теперь после выполнения скрипта, процессор грузит процесс вот с таким именем: BrCcUxSys.exe
-
-
-
Junior Member
- Вес репутации
- 54
лог gmer
Сообщение от
mike 1
Жду лог
лог gmer после повторного сканирования
-
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
mike 1
Сделайте логи RSIT.
логи rsit, при включении ругается на VIVO.dll - точка входа в процедуру не найдена, потом грузиться минут 7, в процессах появляется UP2DATE.exe и исчезает потом (хотелось бы знать что это обновляется) и только потом все ок.
-
- Скачайте Farbar Recovery Scan Tool
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
S3 afweiqk;afweiqk; \??\C:\WINDOWS\system32\01.tmp []
S3 aplwewhm;aplwewhm; \??\C:\WINDOWS\system32\01.tmp []
S3 autqfw;autqfw; \??\C:\WINDOWS\system32\01.tmp []
S3 aymzox;aymzox; \??\C:\WINDOWS\system32\01.tmp []
S3 aytnhe;aytnhe; \??\C:\WINDOWS\system32\01.tmp []
S3 bnjhlfljz;bnjhlfljz; \??\C:\WINDOWS\system32\01.tmp []
S3 bptkvv;bptkvv; \??\C:\WINDOWS\system32\01.tmp []
S3 buqrewfzm;buqrewfzm; \??\C:\WINDOWS\system32\01.tmp []
S3 byutkvwns;byutkvwns; \??\C:\WINDOWS\system32\01.tmp []
S3 cmutyjpl;cmutyjpl; \??\C:\WINDOWS\system32\01.tmp []
S3 cpqbra;cpqbra; \??\C:\WINDOWS\system32\01.tmp []
S3 cqvveww;cqvveww; \??\C:\WINDOWS\system32\01.tmp []
S3 czsynfv;czsynfv; \??\C:\WINDOWS\system32\01.tmp []
S3 dgkijehx;dgkijehx; \??\C:\WINDOWS\system32\01.tmp []
S3 dkohwaieq;dkohwaieq; \??\C:\WINDOWS\system32\01.tmp []
S3 dpffhw;dpffhw; \??\C:\WINDOWS\system32\01.tmp []
S3 dpufuqk;dpufuqk; \??\C:\WINDOWS\system32\01.tmp []
S3 dyqatw;dyqatw; \??\C:\WINDOWS\system32\01.tmp []
S3 ebtwub;ebtwub; \??\C:\WINDOWS\system32\01.tmp []
S3 ehafme;ehafme; \??\C:\WINDOWS\system32\01.tmp []
S3 ejdzoei;ejdzoei; \??\C:\WINDOWS\system32\01.tmp []
S3 eqmafwjc;eqmafwjc; \??\C:\WINDOWS\system32\01.tmp []
S3 eskys;eskys; \??\C:\WINDOWS\system32\01.tmp []
S3 exush;exush; \??\C:\WINDOWS\system32\01.tmp []
S3 fgunybmw;fgunybmw; \??\C:\WINDOWS\system32\01.tmp []
S3 frlpwmt;frlpwmt; \??\C:\WINDOWS\system32\01.tmp []
S3 fxedorpbg;fxedorpbg; \??\C:\WINDOWS\system32\01.tmp []
S3 fzagenycv;fzagenycv; \??\C:\WINDOWS\system32\01.tmp []
S3 gewqywdkv;gewqywdkv; \??\C:\WINDOWS\system32\01.tmp []
S3 gpdmc;gpdmc; \??\C:\WINDOWS\system32\01.tmp []
S3 gtrzeh;gtrzeh; \??\C:\WINDOWS\system32\01.tmp []
S3 gzxiczvl;gzxiczvl; \??\C:\WINDOWS\system32\01.tmp []
S3 haljtroi;haljtroi; \??\C:\WINDOWS\system32\01.tmp []
S3 hcysve;hcysve; \??\C:\WINDOWS\system32\01.tmp []
S3 hsktk;hsktk; \??\C:\WINDOWS\system32\01.tmp []
S3 hyjpnvzaf;hyjpnvzaf; \??\C:\WINDOWS\system32\01.tmp []
S3 iejdrsa;iejdrsa; \??\C:\WINDOWS\system32\01.tmp []
S3 iftpapsz;iftpapsz; \??\C:\WINDOWS\system32\01.tmp []
S3 ijabyalr;ijabyalr; \??\C:\WINDOWS\system32\01.tmp []
S3 ikufe;ikufe; \??\C:\WINDOWS\system32\01.tmp []
S3 ivmolcwzv;ivmolcwzv; \??\C:\WINDOWS\system32\01.tmp []
S3 ixmetzvsy;ixmetzvsy; \??\C:\WINDOWS\system32\01.tmp []
S3 izzrlke;izzrlke; \??\C:\WINDOWS\system32\01.tmp []
S3 jdpybzt;jdpybzt; \??\C:\WINDOWS\system32\01.tmp []
S3 jfnghgizd;jfnghgizd; \??\C:\WINDOWS\system32\01.tmp []
S3 jksjrvkg;jksjrvkg; \??\C:\WINDOWS\system32\01.tmp []
S3 jnwpnpih;jnwpnpih; \??\C:\WINDOWS\system32\01.tmp []
S3 jprfik;jprfik; \??\C:\WINDOWS\system32\01.tmp []
S3 jqttqt;jqttqt; \??\C:\WINDOWS\system32\01.tmp []
S3 jtojeq;jtojeq; \??\C:\WINDOWS\system32\01.tmp []
S3 kitkxdvq;kitkxdvq; \??\C:\WINDOWS\system32\01.tmp []
S3 kqaci;kqaci; \??\C:\WINDOWS\system32\01.tmp []
S3 ksobsyobx;ksobsyobx; \??\C:\WINDOWS\system32\01.tmp []
S3 kytqarc;kytqarc; \??\C:\WINDOWS\system32\01.tmp []
S3 letng;letng; \??\C:\WINDOWS\system32\01.tmp []
S3 mftkqcn;mftkqcn; \??\C:\WINDOWS\system32\01.tmp []
S3 mncdayyu;mncdayyu; \??\C:\WINDOWS\system32\01.tmp []
S3 mpakaz;mpakaz; \??\C:\WINDOWS\system32\01.tmp []
S3 nflhivhjz;nflhivhjz; \??\C:\WINDOWS\system32\04.tmp []
S3 nhaamb;nhaamb; \??\C:\WINDOWS\system32\01.tmp []
S3 nlpurkl;nlpurkl; \??\C:\WINDOWS\system32\01.tmp []
S3 nvekv;nvekv; \??\C:\WINDOWS\system32\01.tmp []
S3 nvgifyko;nvgifyko; \??\C:\WINDOWS\system32\01.tmp []
S3 nvvhtabl;nvvhtabl; \??\C:\WINDOWS\system32\01.tmp []
S3 nwvygcx;nwvygcx; \??\C:\WINDOWS\system32\01.tmp []
S3 oaxidkbgz;oaxidkbgz; \??\C:\WINDOWS\system32\01.tmp []
S3 oemzrkv;oemzrkv; \??\C:\WINDOWS\system32\01.tmp []
S3 opgwojd;opgwojd; \??\C:\WINDOWS\system32\01.tmp []
S3 opzko;opzko; \??\C:\WINDOWS\system32\01.tmp []
S3 osqwnwvn;osqwnwvn; \??\C:\WINDOWS\system32\01.tmp []
S3 ossdef;ossdef; \??\C:\WINDOWS\system32\01.tmp []
S3 pbmpdci;pbmpdci; \??\C:\WINDOWS\system32\01.tmp []
S3 pdegczidq;pdegczidq; \??\C:\WINDOWS\system32\01.tmp []
S3 pggbc;pggbc; \??\C:\WINDOWS\system32\01.tmp []
S3 pugxchj;pugxchj; \??\C:\WINDOWS\system32\01.tmp []
S3 qaxlcfen;qaxlcfen; \??\C:\WINDOWS\system32\01.tmp []
S3 qguvu;qguvu; \??\C:\WINDOWS\system32\01.tmp []
S3 qhfbyms;qhfbyms; \??\C:\WINDOWS\system32\01.tmp []
S3 qlqrzdi;qlqrzdi; \??\C:\WINDOWS\system32\01.tmp []
S3 qnmzz;qnmzz; \??\C:\WINDOWS\system32\01.tmp []
S3 qxxkchk;qxxkchk; \??\C:\WINDOWS\system32\01.tmp []
S3 rabnsfaa;rabnsfaa; \??\C:\WINDOWS\system32\01.tmp []
S3 rjicm;rjicm; \??\C:\WINDOWS\system32\01.tmp []
S3 rjlruy;rjlruy; \??\C:\WINDOWS\system32\01.tmp []
S3 rklemoxd;rklemoxd; \??\C:\WINDOWS\system32\01.tmp []
S3 rtezdxn;rtezdxn; \??\C:\WINDOWS\system32\01.tmp []
S3 ryzpanx;ryzpanx; \??\C:\WINDOWS\system32\01.tmp []
S3 sfojldf;sfojldf; \??\C:\WINDOWS\system32\01.tmp []
S3 sksytnuoc;sksytnuoc; \??\C:\WINDOWS\system32\01.tmp []
S3 svsvipep;svsvipep; \??\C:\WINDOWS\system32\01.tmp []
S3 szpebpua;szpebpua; \??\C:\WINDOWS\system32\01.tmp []
S3 tbqzbf;tbqzbf; \??\C:\WINDOWS\system32\01.tmp []
S3 tbyrjw;tbyrjw; \??\C:\WINDOWS\system32\01.tmp []
S3 tmnewgpd;tmnewgpd; \??\C:\WINDOWS\system32\01.tmp []
S3 tqorsrdak;tqorsrdak; \??\C:\WINDOWS\system32\01.tmp []
S3 txeffv;txeffv; \??\C:\WINDOWS\system32\01.tmp []
S3 ucsdos;ucsdos; \??\C:\WINDOWS\system32\01.tmp []
S3 usiaxhn;usiaxhn; \??\C:\WINDOWS\system32\01.tmp []
S3 uulbtkbh;uulbtkbh; \??\C:\WINDOWS\system32\01.tmp []
S3 vndzmaasl;vndzmaasl; \??\C:\WINDOWS\system32\01.tmp []
S3 waqmvb;waqmvb; \??\C:\WINDOWS\system32\01.tmp []
S3 wfwqqdglx;wfwqqdglx; \??\C:\WINDOWS\system32\01.tmp []
S3 whgubhvu;whgubhvu; \??\C:\WINDOWS\system32\01.tmp []
S3 wkcdfjqum;wkcdfjqum; \??\C:\WINDOWS\system32\01.tmp []
S3 wsirhph;wsirhph; \??\C:\WINDOWS\system32\01.tmp []
S3 xeauqp;xeauqp; \??\C:\WINDOWS\system32\01.tmp []
S3 xpupl;xpupl; \??\C:\WINDOWS\system32\01.tmp []
S3 xtdhqfqy;xtdhqfqy; \??\C:\WINDOWS\system32\01.tmp []
S3 xuzwndw;xuzwndw; \??\C:\WINDOWS\system32\01.tmp []
S3 ymmekpdo;ymmekpdo; \??\C:\WINDOWS\system32\01.tmp []
S3 ysxwchqas;ysxwchqas; \??\C:\WINDOWS\system32\01.tmp []
S3 zbcdkbh;zbcdkbh; \??\C:\WINDOWS\system32\01.tmp []
S3 zqisnzsar;zqisnzsar; \??\C:\WINDOWS\system32\01.tmp []
EmptyTemp:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
-
-
Junior Member
- Вес репутации
- 54
лог FRST
после выполнения фикса
при выключении или перезагрузке все еще есть ошибка с svchost.exe
-
Еще раз логи RSIT сделайте
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
mike 1
Еще раз логи RSIT сделайте
повторяю логи RSIT
-
Воспользуйтесь этой утилитой.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
mike 1
Воспользуйтесь
этой утилитой.
Вы считаете, что на этой машине червь KIDO? Но я уже проверял KIS - он ничего не находит, kidokiller в безопасном режиме - тоже говорит ничего нет, хорошо проверю повторно
прилагаю лог сканирования kilkido, проверил утилитой и антивирусом - не находит ничего, ОС тормозит, периодически пропадает доступ в интернет, помогает только перезагрузка
Последний раз редактировалось center; 01.04.2015 в 20:23.
-
Вы считаете, что на этой машине червь KIDO?
А он был на компьютере.
Скачайте ComboFix здесь и сохраните в корень диска С.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
-
-
Junior Member
- Вес репутации
- 54
Работа комбофикса не заканчивается созданием лога, может быть нужно запускать в безопасном режиме его? Однако компьютер работает теперь быстрее, но интернет пропадает все равно хоть и реже. Иногда при авторизации пользователя не меняется раскладка клавиатуры, лечится перезагрузкой
-
Попробуйте собрать лог в безопасном режиме.
-
-
Junior Member
- Вес репутации
- 54
логи комбофикс
Сообщение от
mike 1
Попробуйте собрать лог в безопасном режиме.
НАКОНЕЦ ТО удалось их собрать, комбофикс теперь отработал корректно, после удаления антивируса касперского