Показано с 1 по 9 из 9.

New Malware.j(Trojan) / New Poly Win32(Virus). Тормоза системы, загрузка процессора процессом svchost.exe (заявка № 23613)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    16
    Вес репутации
    61

    Thumbs up New Malware.j(Trojan) / New Poly Win32(Virus). Тормоза системы, загрузка процессора процессом svchost.exe

    Здравствуйте,

    Нахватался троянов и похоже есть вирус. Тормозит система.

    Сегодня решил поставить свежий McAffe, который удалил кучу троянов. Два подозрительных файла/процесса обезвредить не смог:

    ------------
    No Action Taken (Clean failed because the detection isn't cleanable) C:\WINDOWS\svchost.exe New Malware.j(Trojan)
    No Action Taken (Clean failed because the detection isn't cleanable) C:\WINDOWS\system32\magent.exe\magent.exe New Poly Win32(Virus)
    Delete failed (Clean failed because the detection isn't cleanable) c:\WINDOWS\svchost.exe New Malware.j(Trojan)
    Delete failed (Clean failed because the detection isn't cleanable) c:\WINDOWS\system32\magent.exe\magent.exe New Poly Win32(Virus)
    ------------


    McAfee Scan Summary:
    -----------------------
    Processes scanned : 69
    Processes detected : 2
    Processes cleaned : 0
    Boot sectors scanned : 1
    Boot sectors detected: 0
    Boot sectors cleaned : 0
    Files scanned : 122913
    Files with detections: 18
    File detections : 31
    Files cleaned : 0
    Files deleted : 16
    Files not scanned : 69
    Run time : 2:24:08
    Full Scan
    =========================


    С этими симптомами и обращаюсь за помощь. Все инструкции выполнил уже после скана. McAfee на время скана AVZ и HijackThis остановил все проверки, но не смог выгрузить полностью из памяти.

    Кроме файлов требуемых инструкцией могу прислать полный лог скана McAfee, если нужно.

    Заренее спасибо,
    Андрей.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('iAimTV2'); 
     DeleteService('runtime2');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\wATV03nt.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('AUHook.dll','');
     QuarantineFile('C:\WINDOWS\system32\magent.exe','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\magent.exe');
     DeleteFile('AUHook.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\wATV03nt.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(6);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки ПК закачайте карантин по красной ссылке вверху темы и повторите 3 лога.

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    16
    Вес репутации
    61
    Скрипт выполнил. Карантин отправил. Однако судя по скрипту, там должны были быть другие файлы. Не знаю почему в какрантине другие файлы.

    Запустил генерацию 3-х логов. скоро будут.

    Что делать с карантином?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от TkachukA Посмотреть сообщение
    Не знаю почему в какрантине другие файлы.
    если Вы имеете ввиду *.dta и *.ini -файлы, то так и должно быть
    Цитата Сообщение от TkachukA Посмотреть сообщение
    Что делать с карантином?
    Дубль 2: закачайте карантин по красной ссылке вверху темы

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    16
    Вес репутации
    61
    Нет я имею ввиду не dat, ini. Я понимаю, что они переименованы. Я имею ввиду, что в карантин попали другие файлы (iertutil.dll и svchost.exe) а не те, которые в скрипте (wATV03nt.sys, runtime2.sys и т.д.)

    Как и написал, карантин отправил согласно инструкции. Скоро будут готовы логи.

    логи.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 28.05.2008 в 23:14.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от TkachukA Посмотреть сообщение
    Я имею ввиду, что в карантин попали другие файлы (iertutil.dll и svchost.exe) а не те, которые в скрипте (wATV03nt.sys, runtime2.sys и т.д.)
    Например svchost.exe в скрипте записан , iertutil.dll попал, как подозительный, я его не убивал и не карантинил.
    Сейчас по крайней мере логи ничего не показывают. Как работает ПК?
    Забыл одну мелочь:
    Пофиксите для порядка
    Код:
    O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - (no file)
    Последний раз редактировалось Rene-gad; 28.05.2008 в 23:26.

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    16
    Вес репутации
    61

    Спасибо!

    Запустил скан McAfee. Пока никаких проблем! Еще час сканироваться. После этого понаблюдаю за ПК и если что не так - отпишу.

    Ах, нашей бы медицине побольше подобных спецов и энтузиастов.
    Спасибо за то, что вы делаете! Это невозможно переоценить.

    Андрей.

    Добавлено через 8 часов 24 минуты

    McAfee завершил скан и ничего не нашел.

    Однако когда утром включил компьютер - опять загрузка проца 100%

    Виновник вот этот сервис:

    Background Intelligent Transfer Service
    C:\WINDOWS\System32\svchost.exe -k netsvcs


    ProcessExplorer показал активность вот этого Thread-а в 80-90% :

    Thread:
    wuaueng.dll!DllInstall+0x1c0d0

    Когда я его убил - загрузка проца упала.

    Загрузка проца подскакивает до 100% периодически из за этого сервиса. Что мне делать?
    Последний раз редактировалось TkachukA; 29.05.2008 в 09:15. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от TkachukA Посмотреть сообщение
    Thread:
    wuaueng.dll!DllInstall+0x1c0d0 Что мне делать?
    Эта библиотека ответственна за поиск МС-обновлений: http://support.microsoft.com/?scid=k...83821&x=15&y=9
    Давно обновлялись? Скачайте по ссылке в моей подписи SP3 и установите. У многих, в т.ч. и у меня, были проблемы с автоматической установкой этого пакета.
    Перед установкой не забудьте отключить антивирус и файрволл!!!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Trojan-Proxy.Win32.Daemonize.if (DrWEB: BackDoor.Salidol)


  • Уважаемый(ая) TkachukA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 02.04.2011, 12:43
    2. Ответов: 8
      Последнее сообщение: 31.03.2011, 02:21
    3. 100%-я загрузка системы любым процессом
      От adolf81 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.01.2011, 18:44
    4. Загрузка процессора процессом svchost.exe (~50%)...
      От konstant-1980 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.02.2010, 12:17
    5. Загрузка процессора процессом services.exe
      От Tinky в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.11.2008, 17:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00225 seconds with 17 queries