Подозрение на наличие вредоносных программ

[Geronimo]

Здравствуйте!

У меня есть несколько подозрений на наличие вирусов (или других типов вредных программ) на моем компьютере:

1) Process Explorer показывает, что часто загружаются 2 wmiapsrv.exe (они в нем выделяются коричневым цветом). В это время комп начинает сильно тормозить.

2) Бесплатный сканер (PreVx) стабильно показывает наличие "опасности" svchost.exe: ext.exe. Пару месяцев назад AVZ также находил этот процесс ("опасно исполняемый файл в потоке NFTS"), но сейчас не находит.

3) другой бесплатный сканер (XoftSpySE) стабильно выдает наличие двух проблем с Registry Key (InsideChatSpy в software\ics и WOW BHS Trojan в software\cn913 и одной с Registry Value (potentially unwanted policy change в software\microsoft\windows\current version\policies\system\disableregistrytools

Каких то видимых проявлений действия вредных программ нет, разве что исчезла картинка с рабочего стола и иногда "глючит" языковая панель. Но так как комп используется в рабочих целях, очень хотелось бы проверить мои подозрения.

Спасибо!
П.С.
В приложении - три файла, надеюсь, это то, что вы просите по правилам.

[thyrex]

Лог gmer сделайте

[Rene-gad]

+ thyrex

2) Бесплатный сканер (PreVx)
3) другой бесплатный сканер (XoftSpySE)

Удалите их обоих: у первого много ложняков - может убить что-то хорошее, второй подозревается в шпионской деятельности.

[Geronimo]

Спасибо большое за быстрый ответ!
Удалил оба сканера.
Высылаю лог от Gmer в приложении.

Прошу прощения, но в начальном письме забыл указать еще два момента:

1) В списке служб случайно обнаружил странную службу atuaghis. Ее описание не радует:" Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены".

Ничего подобного на просторах интернета не нашел. Практически все, что связано с удаленным доступом, я старался отключить, но эта служба включается автоматически, при этом ничего поменять в ней мне не разрешают.

2) Procecc Explorer часто также показывает процесс cisvc.exe - Content Index Service, подписан Microsoft Corporation. Может он и "хороший", сам по себе, но он много "кушает", и на пару с Касперским они могут оставить бедный System Idle Process вообще практически без "еды", и комп, соответственно, тормозит.

Спасибо!

[Rene-gad]

Выполните команды в GMER

Код:

copy C:\WINDOWS\system32\nfdqlrir.dll C:\nfdqlrir.dll__
gmer.exe -del service evwbvpp
gmer.exe -del service jmokkig
gmer.exe -del service lofimfva
gmer.exe -del service pmeyoy
gmer.exe -del file "C:\WINDOWS\system32\nfdqlrir.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\evwbvpp"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jmokkig"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lofimfva"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pmeyoy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\evwbvpp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\jmokkig"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lofimfva"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pmeyoy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\evwbvpp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\jmokkig"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lofimfva"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\pmeyoy"
gmer.exe -reboot

После перезагрузки:

Код:

C:\nfdqlrir.dll__

пришлите по правилам (приложение 2 и 3 правил).
- Повторите лог gmer.
- Обновите базы АВЗ: (Файл/Обновление баз)
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Geronimo]

Спасибо большое!
Постараюсь к утру все выполнить и вам прислать (сейчас нет возможности)!

Хотел бы уточнить, что вам прислать? Только новый лог gmer и обновленные три лога (два от AVZ и один от Hijack), или что-то еще?

[Rene-gad]

Только новый лог gmer и обновленные три лога (два от AVZ и один от Hijack)

Пока только их

[Geronimo]

Здравствуйте,

как просили, высылаю обновленные логи.

Спасибо.

[Rene-gad]

После перезагрузки:

Код:

C:\nfdqlrir.dll__

пришлите по правилам (приложение 2 и 3 правил)..

Карантин не обнаружил...

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('catchme');
 DeleteService('catchme');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('catchme');
RebootWindows(true);
end.

После перезагрузки:
- Повторите в точности действия, описанные в п.2 раздела правил Диагностика, новый лог прикрепите к новому сообщению.

[Geronimo]

Здравствуйте,

Правильно ли я понял, что вам нужно прислать карантин от AVZ?

По поводу скрипта: выдает ошибку, пишет Undeclared indentifier "ClearQuaratine" в позиции 4:15

[pig]

Поправлено, выполняйте.

[Rene-gad]

Правильно ли я понял, что вам нужно прислать карантин от AVZ?

Что в Вашем понятии есть карантин от AVZ? Нужно прислать запрошенный файл (читайте приложения 2 и 3 правил)

По поводу скрипта: выдает ошибку, пишет Undeclared indentifier "ClearQuaratine" в позиции 4:15

Коллега pig подправил скрипт, за что ему спасибо

[Geronimo]

Здравствуйте,

как прислать запрашиваемый файл - это я понял, но КАКОЙ файл вы хотите - вот этого я не понял. Файл C:\nfdqlrir.dll__ ? Пробовал, не получается. Извините уж за недопонимание.

Пока высылаю новый лог после скрипта, выполненный согласно п. 2 Диагностики (как просили). Скажу (может эта информация будет полезной), что сам он "недоперезагрузился" после скрипта (были темный экран и курсор), пришлось выключать "насильно".

Спасибо.

[Rene-gad]

Файл C:\nfdqlrir.dll__ ? Пробовал, не получается.

А что именно не получается? Нет файла или не создается карантин?

В логах ничего подозрительного. Жалобы есть?

[Geronimo]

Здравствуйте,

когда пытаюсь в AVZ добавить файл в карантин - выдает:

Ошибка карантина файла, попытка прямого чтения (C:\nfdqlrir.dll__)
Карантин с использованием прямого чтения - ошибка

Пробовал просто nfdqlrir.dll__ - тогда выдает примерно то же самое:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\nfdqlrir.dll__) Карантин с использованием прямого чтения - ошибка

Если честно, жалоба сейчас только одна - процесс cisvc.exe много есть, такое наблюдается последние недели две, раньше не было.

Еще хотел бы спросить, как можно улучшить безопасность в моем случае? Может службы еще какие отключить, что-нибудь еще?

Спасибо

[Rene-gad]

когда пытаюсь в AVZ добавить файл в карантин - выдает:
Ошибка карантина файла, попытка прямого чтения (C:\nfdqlrir.dll__)

Ставлю прямой вопрос: файл ЕСТЬ в корневом каталоге или его НЕТ.
В первом случае - АВЗ/Сервис/Поиск файла, находите и отмечаете , Добавить в карантин, далее по приложению 3. Во втором случае - на НЕТ и суда НЕТ

Если честно, жалоба сейчас только одна - процесс cisvc.exe много есть,

http://www.hijackfree.de/de/processdetails/file686.aspx
- Сделайте лог GMER.

Еще хотел бы спросить, как можно улучшить безопасность в моем случае?

- Прочитайте Как не стать завсегдатаем раздела Помогите?


Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

[Geronimo]

Здравствуйте,

файла в корневом каталоге (и вообще на компе) не нашел. Не знаю, хорошо это ли плохо.

Спасибо большое за ответы и советы, некоторые из них уже внедрил в жизнь.

Высылаю лог от Gmer.
Предложенную процедуру выполнил.

Спасибо.

[Rene-gad]

В логе ничего подозрительного. Жалобы есть?

[Geronimo]

Здравствуйте,

на данный момент жалобы связаны только с процессами wmiapsrv.exe и cisvc.exe - грузят комп. Причем второй делает это постоянно. Но, как я понял, это "хорошие" процессы. Вот только cisvc.exe стал проявляться лишь последний месяц. Может быть, что то не так с самой системой (без участия вирусов)?

Еще - комп стал греться очень, тоже последние пару недель. Не знаете ли вы, может действие эти процессов и нагревание быть связаны?

Еще один вопрос - не знаете ли Вы, означает ли что-нибудь выделение процессов разными цветами в Process Explorere? wmiapsrv.exe там, например, выделяется коричневым цветом.

Извините, если некоторые вопросы (или все) не по адресу.
Спасибо большое Вам за помощь. Хороший сайт и оперативная работа. Изучаю раздел "помощь сайту".

[Rene-gad]

на данный момент жалобы связаны только с процессами wmiapsrv.exe и cisvc.exe - грузят комп.
Еще - комп стал греться очень, тоже последние пару недель. Не знаете ли вы, может действие эти процессов и нагревание быть связаны?

Слово Знаете тут не подходит Предположить могу, что все как раз наоборот: активизация этих процессов м.б. связана с проблемами в работе оборудования, напр. ОЗУ. Здесь нужна консультация специалиста по месту проживания.

означает ли что-нибудь выделение процессов разными цветами в Process Explorere? wmiapsrv.exe там, например, выделяется коричневым цветом.

Потому что это системный процесс. Запустите программу, Options/Configure Highlighting...и замените цвет на какой хотите