Показано с 1 по 20 из 20.

svchost пытается соединится с непонятными серверами (заявка № 30595)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Добрый день!Такая проблема:словил trojan.downloader.Вроде вылечил всё dr.web.Потом заметил что svchost качает трафик бесперебойно.Firewall показал что соединяется этот svchost с разными серверами каждый раз.Dr.web и Spyboot ничего не видят(базы новые).Сделал проверку как написао у Вас в разделе "Помогите".Вот высылаю.

    Вот:
    Последний раз редактировалось ZAP!; 21.09.2008 в 16:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\ati3kpxx.sys
    C:\WINDOWS\system32\drivers\synsenddrv.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\RRQNPTRW.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ptptptpt.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati3kpxx.sys','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
     QuarantineFile('C:\WINDOWS\msauc.exe','');
     QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
     QuarantineFile('C:\TEMP\9B.tmp','');
     QuarantineFile('C:\\Documents and Settings\\as\\Рабочий стол\\ByFly_GUEST.lnk','');
     DeleteService('wscsvc');
     DeleteService('UmxPol');
     DeleteService('UmxLU');
     DeleteService('UmxAgent');
     DeleteService('tcpsr');
     DeleteService('synsend');
     DeleteService('RRQNPTRW');
     DeleteService('ptptptpt');
     DeleteService('CcEvtSvc');
     DeleteService('ati3kpxx');
     DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\RRQNPTRW.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ptptptpt.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati3kpxx.sys');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
     DeleteFile('C:\WINDOWS\msauc.exe');
     DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
     DeleteFile('C:\TEMP\9B.tmp');
     DeleteFile('C:\\Documents and Settings\\as\\Рабочий стол\\ByFly_GUEST.lnk');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
     BC_DeleteSvc('ati3kpxx');
     BC_DeleteSvc('CcEvtSvc');
     BC_DeleteSvc('ptptptpt');
     BC_DeleteSvc('RRQNPTRW');
     BC_DeleteSvc('synsend');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('UmxAgent');
     BC_DeleteSvc('UmxLU');
     BC_DeleteSvc('UmxPol');
     BC_DeleteSvc('wscsvc');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    synsenddrv.sys не было. ati3kpxx.sys высылаю . Проблема не иссякла-всё равно что-то качает.и ещё-заметил что иногда(после попадания вируса) когда я online слышен звук ошибки windows . но никаких диологовых окон при этом не выскакивает.Вот логи:
    Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.

  5. #4
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Ещё недостающий лог:
    Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В IceSword сделайте Force Delete сладкой парочке:

    Код:
    C:\WINDOWS\System32\Drivers\ati3kpxx.sys
    C:\WINDOWS\System32\drivers\tcpsr.sys
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati3kpxx');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati3kpxx.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ati3kpxx');    
    BC_Activate;  
    RebootWindows(true);
    end.
    Повторите логи...

  7. #6
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    C:\WINDOWS\System32\drivers\tcpsr.sys - такого нет вообще.Всё остальное сделал.Вот логи:
    Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('tcpsr');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    По мойму проблема была решена уже после #5 . Спасибо ВСЕМ-Вы оказали неоценимую помощь!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от ZAP! Посмотреть сообщение
    По мойму проблема была решена уже после #5 . Спасибо ВСЕМ-Вы оказали неоценимую помощь!
    По мойму у Вас сидит зловред... Или Вы считаете, что мы пишем скрипты, потому что графоманией поражены?

  11. #10
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Извините-Вы правы.Кстати-после последнего скрипта отказал ДРАЙВЕР аудиокарты.высылаю новые логи:
    Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В IceSword сделайте этим файлам Force Delete:

    Код:
    C:\WINDOWS\system32\drivers\oxlmlacibr.sys
    C:\WINDOWS\system32\drivers\synsenddrv.sys
    C:\WINDOWS\system32\drivers\toqpttqs.sys
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\toqpttqs.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\oxlmlacibr.sys','');
     DeleteService('tcpsr');
     DeleteService('npftb');
     DeleteService('toqpttqs');     
     DeleteFile('\??\C:\WINDOWS\system32\drivers\oxlmlacibr.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\toqpttqs.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('npftb');
    BC_DeleteSvc('toqpttqs');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    + вот этот мусор пофиксите
    Код:
    O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{84F57~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{84F57~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{C6440~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{C6440~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup3] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup4] C:\PROGRA~1\INSTAL~1\{52338~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{52338~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup5] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup6] C:\PROGRA~1\INSTAL~1\{32B4B~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{32B4B~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup7] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup8] C:\PROGRA~1\INSTAL~1\{DE4A4~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{DE4A4~1\reboot.ini  -l0x9
    O4 - HKLM\..\RunOnce: [InstallShieldSetup9] C:\PROGRA~1\INSTAL~1\{1B1DD~1\SETUP.EXE -rebootC:\PROGRA~1\INSTAL~1\{1B1DD~1\reboot.ini  -l0x9

  14. #13
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Но там нет таких строчек.Что именно фиксить?Вот логи:
    Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто,жалобы есть?

  16. #15
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Пока что всё хорошо-СПАСИБО.Если что-отпишусь.

  17. #16
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Всё равно-после соединения с и-нетом через сек 10-15 нагло что-то качает.Firewall молчит как и всё другое.ПОМОГИТЕ пожалуйста!Вот новые логи:
    Последний раз редактировалось ZAP!; 02.10.2008 в 11:29.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe 
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
    Скопированные с помощью IceSword файлы сохраните в карантине ...avz\quarantine\.
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     DeleteService('VIDEO');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Таких файлов там не было.Логи:
    Последний раз редактировалось ZAP!; 02.10.2008 в 11:29.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    Какие еще проблемы?

  21. #20
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Сейчас вроде не качает сам.Хотя иногда всё же даже при загруженных страницах что-то подкачивать пытается.

  • Уважаемый(ая) ZAP!, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 11.12.2011, 16:09
    2. Ответов: 14
      Последнее сообщение: 26.10.2009, 00:04
    3. Svchost пытается скачать вирус
      От bob2005 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.07.2009, 14:43
    4. Ответов: 3
      Последнее сообщение: 12.12.2008, 13:04
    5. Ответов: 2
      Последнее сообщение: 12.12.2008, 11:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00170 seconds with 19 queries