-
Junior Member
- Вес репутации
- 57
svchost.exe:ext.exe задолбал
Доброго времени суток!
Несколько дней борюсь с вирусами. Началось всё с торможения работы, закончилось "Внезапным завершением службы services.exe". Касперский что-то находил, однако больше отбивалсая от атак с помощью "механизма внутренней самозащиты" и в конечном итоге ни фига не сделал. Запустил SDFix, она часть заразы вывела, затем помог hijackthis, успокоив службу services.exe.
Сейчас комп грузится, работает без тормозов, однако все антивирусы находят от двух до восьми процессов svchost.exe:ext.exe, висящих в системе. Кроме того, при работе Касперского и AVZ система минут через пять вылетает в BSOD, что-то там с физической памятью. Лог лечения и карантина по этой причине снять невозможно, направляЮ что есть. Заранее благодарю за помощь.
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('R:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe','');
QuarantineFile('R:\autorun.inf','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('sxmg4.dll','');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Glb55.sys','');
QuarantineFile('C:\WINDOWS\system32\wwxubcn32.dll','');
DeleteFile('C:\WINDOWS\system32\wwxubcn32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Glb55.sys');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('R:\autorun.inf');
DeleteFile('R:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('catchme');
BC_DeleteSvc('Glb55');
BC_DeleteSvc('Isapwac');
BC_DeleteSvc('CbEvtSvc');
BC_DeleteSvc('bEvtSvcE');
BC_DeleteSvc('bEvtService');
BC_DeleteSvc('FCI');
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=34804).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Направил запрошенный карантин. Забыл сказать, что после дечения Hijack-ом комп не стал грузиться в safe-mode. Такого фокуса я ещё не видел...
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('odbcasvc');
QuarantineFile('C:\WINDOWS\SYSTEM32\odbcasvc.EXE','');
QuarantineFile('C:\WINDOWS\system32\wwxubcn.dll','');
DeleteFile('C:\WINDOWS\system32\wwxubcn.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\odbcasvc.EXE');
DeleteFile('wwxubcn.dll');
DeleteFile('sxmg4.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DelCLSID('{A744F16C-B2D5-4138-81A2-085CDFCDE83A}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('odbcasvc');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Повторил карантин и логи. Вроде как svchost.XXX прибили. Кстати (или некстати), после любой перезагрузки, даже штатной, вылазит chkdisk и проверяет индексы, но почему-то на D. Разумеется, там всё в порядке. На С проверял всего один раз, нашёл кучу ошибок (ещё до запуска сриптов). И ещё, в диспетчере постоянно висит spoolsv.exe размером в 5132 Мб, хотя я ничего не печатал.
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
скачайте C:\WINDOWS\system32\Drivers\Glb55.sys - force delete
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Glb55');
DeleteFile('C:\WINDOWS\system32\Drivers\Glb55.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 57
Я не тормоз, я медленный газ. Вчера Интернет отрубился ровно в полночь, спасибо провайдеру.
Я не понял, надо было скачать этот самый SpyRemover и силовым методом удалить glb55.sys? Это и есть корень зла? Действительно, Hijack-ом он не удаляется. Однако SpyRemover толстоват (12 Мб+ 30Мб баз). Качать действительно надо?
Между тем похоже все вчерашние результаты опять пошли на смарку. Опять куча барахла в логах, флэшку убрал подальше с её авторанами, периодические BSODы …
Всё сначала? Высылаю логи
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
Скачать,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\Drivers\Glb55.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Glb55');
DeleteService('ICF');
DeleteFile('C:\WINDOWS\system32\wwxubcn.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Glb55.sys');
DeleteFile('C:\WINDOWS\jrcaggbh.exe');
DeleteFile('wwxubcn.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_DeleteSvc('Glb55');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Логи направил. А glb55.sys удалил из параллельной системы, загрузить и запустить вашу прогораммку не успевал из-за непрерывных перезагрузок. Однако chkdisk-то пашет, непрерывно сканит диск D! Что он там забыл?
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
Пофиксите в HijackThis:
Код:
O4 - HKUS\S-1-5-18\..\Run: [rvekqyup.exe] C:\WINDOWS\rvekqyup.exe (User 'SYSTEM')
O20 - Winlogon Notify: wwxubcn - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\rvekqyup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethxttap.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethsqcxl.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ethsqcxl.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethxttap.sys');
DeleteFile('C:\WINDOWS\rvekqyup.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Направляю карантин и логи. Сделал полную проверку диска D chkdisk-ом, теперь при загрузке успокоился. Но на C нашёл сбойный кластер в файле подкачки!!! Я в шоке.
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
D-диск скорее всего FAT, при неудачной перезагрузке будет всегда запускаться ScanDisk.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
2 PavelA:
В том-то и дело, что все три диска (C, D и E) NTFS. Физически раздельные, SATA...
Сейчас вроде chkdisk не выскакивает, однако AVZ до конца доработать не может, вылетает голубой экран. То POOL_чего-то там Bad, то ещё чего нибудь.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Спасибо. От вирусов вроде избавился. Однако проблема есть-AVZ и Каспер не могут доработать до конца, вылетает BSOD BAD_POOL_HEADER, комп записывает дамп и перегружается. Это апаратная проблема?
-
Прикрепите свежий дамп в архиве...
-
-
Junior Member
- Вес репутации
- 57
Я бы не против, да сохраняется дамп всей физической памяти, а это ровно гигабайт... Двести мегов архива, я так понимаю, никому не нужны
Сегодня появился новый BSOD - IRQL_NOT_LESS_OR_EQUAL. Что посоветуете? Вирусов вроде нет, тормоза исчезли
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\rvekqyup.exe - Trojan-Downloader.Win32.Small.agbh (DrWEB: Trojan.DownLoad.1258
- c:\\windows\\system32\\cbevtsvc.exe - Trojan.Win32.Agent.arwk (DrWEB: Trojan.DownLoad.4419)
- c:\\windows\\system32\\drivers\\ethsqcxl.sys - Rootkit.Win32.Agent.ffo (DrWEB: Trojan.PWS.GoldSpy.2553)
- c:\\windows\\system32\\drivers\\ethxttap.sys - Rootkit.Win32.Agent.ffo (DrWEB: Trojan.PWS.GoldSpy.2553)
- c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Crypt.aby (DrWEB: BackDoor.Bolg.87)
- c:\\windows\\system32\\wwxubcn.dll - Backdoor.Win32.Hijack.ac (DrWEB: BackDoor.JackBot.1)
- c:\\windows\\system32\\wwxubcn32.dll - Backdoor.Win32.Hijack.ac (DrWEB: BackDoor.JackBot.1)
- r:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\sdcvhost.exe - Worm.Win32.AutoRun.pcs (DrWEB: Trojan.StartPage.21595)
-