-
Junior Member
- Вес репутации
- 59
svchost грузит проц на 50%
Процесс svchost грузил процессор на 50%. Отключить его через диспетчер задач не получилось (виндоус сразу же завершал работу). В автозагрузке из неизвестного был запуск процесса siszyd32 (в папке автозагрузки лежал файлик siszyd32.exe) - из автозагрузки его убрать было нельзя (после перезагрузки он опять появлялся). В безопасном режиме я поменял содержимое siszyd32.exe на пару буковок чтобы непонятно что не запускалось - svchost сразу же перестал грузить проц, но все проверить окончательно все же необходимо.
У меня дрВеб, проверка в безопасном режиме через авз не удалась - программа не смогла проверить в "Скрытых объектах автозапуска" файл C:\WINDOWS\system\TIMER.DRV (пару десятков минут его пыталась сканировать - так и не досканировала)
И еще - HijackThis выдавал ошибку "modMain_StartScan() - error5 invalid procedure call or argument"
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
карантин выслал
И несколько вопросов:
1. я вроде как опытный пользователь - можете ли подскать как это что-то могло ко мне попасть?
2. буквально пару дней назад начал глючить сидиром (перестал диски записывать) - вирус никак с этим не связан?
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
Junior Member
- Вес репутации
- 59
Извините - "продолжение следует"? Или я тороплю события?
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cmd.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
DeleteFile('C:\WINDOWS\system32\servises.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Проверьтесь так http://virusinfo.info/showthread.php?t=50169
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Выслал карантин
руткита TDSS не нашлось
Последний раз редактировалось sergijko; 09.12.2009 в 00:12.
Причина: проверил руткит TDSS
-
Junior Member
- Вес репутации
- 59
Все сделал.
Кстати - HijackThis все еще выдает ошибку "modMain_StartScan() - error5 invalid procedure call or argument"
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
Junior Member
- Вес репутации
- 59
Подскажите пожалуйста что дальше (работа стоит).
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
В логах руткит есть
Дополнительно проверился "Утилита TDSSKiller.exe от Лаборатории Касперского" - руткита не нашлось (перед тем проверялся Утилита Rootkit.Win32.TDSS remover от esagelab)
Код:
C:\Documents and Settings\Admin>D:\installs\АНТИВИРУС\virusinfo.info\tds_killer\TDSSKiller.exe -l report.txt -v
TDSS rootkit removing tool, Kaspersky Lab 2009
version 2.1.0 Dec 5 2009 17:36:32
Scanning Registry ...
Scanning Kernel memory ...
Completed
Results:
Infected objects in memory: 0
Cured objects in memory: 0
Infected objects on disk: 0
Objects on disk cured on reboot: 0
Objects on disk deleted on reboot: 0
Registry nodes deleted on reboot: 0
Может это какой-то другой руткит?
Что еще посоветуете сделать?
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 59
-
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
C:\WINDOWS\system32\DRIVERS\atapi.sys замените на чистый с дистрибутива
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
C:\WINDOWS\system32\DRIVERS\atapi.sys замените на чистый с дистрибутива
Он не удаляется\не заменяется никак - его даже скопировать нельзя, виндоус пишет "ошибка - не удается прочитать файл". Кстати, по размеру он точно такой как и чистый, дата последнего изменения больше года назад.
-
В логах в таком случае ничего плохого не усматривается
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
В таком случае считаем вопрос решенным
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-