Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

посмотрите, пожалуйста. (заявка № 47321)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55

    Thumbs up посмотрите, пожалуйста.

    Доброго времени суток!
    Проблема в следующем. В последнее время комп стал часто тормозить, особенно сильно с интернетом. При этом наблюдалось аж несколько мне непонятных вещей - загруз процессора процессом system и просто невероятный исходящий трафик от процесса svchost.exe на порте 1900. может это и нормально, я не знаю=). сегодня утром мне позвонили из провайдера и сообщили, что меня временно условно блокируют потому что с моего ip идет спам, естесственно немедленно проверился антивирем (KIS2009), который нашел и вылечил c/windows/system32/drivers/***.sys (их было около 10) и оттуда же удалил svchost.exe и 1.exe
    но сейчас все равно с svchost.exe и system идет исходящий трафик, что очень не нравится
    логи прилагаю, посмотрите пожалуйста, мне ком лечить надо или голову от паранойи?
    p.s. неделю назад долбался и лечился каспером от net-worm.win32.kido, тогда оно сидело в c/windows/system32 и носило имя 1.tmp или ***.dll - может это он?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
     DeleteFile('C:\WINDOWS\system32\calc.ifo');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    сделал, сейчас пришлю карантин, только разберусь как делать)
    а что Вы сделали тем скриптом? просто теперь после загрузки винда ругается на его отсутствие))
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    карантин ушел

    Добавлено через 30 минут

    исходящий трафик 6 кб/с - видимо спам все еще идет(

    Добавлено через 35 минут

    гм.. только что удостоился синего экрана. постепенно начинается паника XDD
    а после того скрипта при каждом включении оно находит "новое устройство". что это?
    Последний раз редактировалось gr16man; 05.06.2009 в 20:53. Причина: Добавлено

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Выполните скрипт в AVZ:

    Код:
    begin
     ExecuteRepair(16);    
     RebootWindows(true);
    end.
    2. Пофиксите в HijackThis:

    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe calc.ifo beforemain
    3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Последний раз редактировалось Aleksandra; 05.06.2009 в 21:36.
    Сердце решает кого любить... Судьба решает с кем быть...

  7. #6
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    эмм.. не хочу показаться идиотом, но я не нашел такой строчки в hijackthis(

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Тогда пропускаем...
    Сердце решает кого любить... Судьба решает с кем быть...

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    логи выкладывать?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Да.
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    на всякий случай выложу
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего зловредного в логах нет. Что с проблемами?
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    трафика нету, тормозит меньше
    СПАСИБО!!
    осталось 2 вопроса
    1) что делать с процессом system (грузит проц+трафик)
    2) то, что svchost.exe выкидывает трафик в инет - это нормально?
    ну, извиняюсь за свою тупизну и паранойю))

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    У Вас на машине стоит KIS. Зачем нужно было ставить AGAVA Firewall?
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    ээ.. ну как.. паника))
    да, тупость сделал
    уже снес

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от gr16man Посмотреть сообщение
    осталось 2 вопроса
    1) что делать с процессом system (грузит проц+трафик)
    2) то, что svchost.exe выкидывает трафик в инет - это нормально?
    ну, извиняюсь за свою тупизну и паранойю))
    1. С помощью Process Explorer посмотрите что грузит ЦП...

    2. Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    вот сейчас system почти не грузит..
    вот про svchost.exe - есть такая директория:
    C:\WINDOWS\System32\svchost.exe
    и такая:
    C:\WINDOWS\system32\svchost.exe
    это ок?

    gmer на что-то руганулся
    Вложения Вложения
    • Тип файла: log gmer.log (62.2 Кб, 4 просмотров)

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от gr16man Посмотреть сообщение
    gmer на что-то руганулся
    Это остатки от Kido. Сейчас зачистим.

    Добавлено через 8 минут

    Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

    Код:
    gmer.exe -del service azjyym
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@DisplayName"                                                                                                                            
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Type"                                                                                                                    
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Start"                                                                                                                        
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ErrorControl"                                                                                                                             
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ImagePath"                                                                                                                            
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ObjectName"                                                                                                                
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Description"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym\Parameters"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym\Parameters@ServiceDll"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@DisplayName"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Type"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Start"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ErrorControl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ImagePath"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ObjectName"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Description"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym\Parameters"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym\Parameters@ServiceDll"
    gmer -reboot
    Последний раз редактировалось Aleksandra; 05.06.2009 в 23:08. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  19. #18
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    сделала как было написано, при этом на каждом действии оно выдавало ошибку

    когда начал сканить gmer'ом по новой, оно подвисло и ушло в синий экран
    однако теперь он не ругается на то, что там кажется был руткит
    Вложения Вложения
    • Тип файла: log gmer.log (45.5 Кб, 2 просмотров)

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Теперь чисто.

    Добавлено через 46 секунд

    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
    Последний раз редактировалось Aleksandra; 05.06.2009 в 23:53. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  21. #20
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    55
    отлично))
    а что можно поделать с тем, что комп при запуске пытается установить какое-то новое оборудование и хочет в инет на майкрософт апдейт?
    появилось после первого скрипта..)

    Добавлено через 37 секунд

    ой, не увидел, счас сделаю
    Последний раз редактировалось gr16man; 05.06.2009 в 23:55. Причина: Добавлено

  • Уважаемый(ая) gr16man, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Посмотрите пожалуйста.
      От alivan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.02.2011, 03:31
    2. Посмотрите пожалуйста
      От alivan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.02.2011, 10:42
    3. Посмотрите пожалуйста
      От juls в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.12.2010, 18:13
    4. Посмотрите пожалуйста
      От андрей викторыч в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.03.2009, 18:13
    5. Посмотрите, пожалуйста
      От Мяу в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.12.2007, 16:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00591 seconds with 20 queries