Показано с 1 по 15 из 15.

svchost.exe область памяти не может быть "written", hosts~5.8 мб (заявка № 71560)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53

    Exclamation svchost.exe область памяти не может быть "written", hosts~5.8 мб

    Здравствуйте, многоуважаемые уничтожители зловредов.
    Во второй раз к Вам обращаюсь.

    Итак комп, примерно через 5 минут после запуска появляется окошко svchosts.exe "ххххххххх(адресс в памяти)" область памяти не может быть "written" по нажатию ок или отмены, пропадает реакция на внешние раздражители, ни на мышку, ни на клаву не реагирует.

    Полный скан kav8 и свежим cureit ничего не дал.
    Так-же в ходе беглого осмотра был обнаружен что размер файла хостс чуть более 5мб, (неудобочитаемый), при скане Касперским вирусов не находит.

    Логи прилагаются.
    P.S. В карантине что-то есть копия hosts сохранена, залью по первому Вашему требованию, если таковое будет.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксить в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0019931.exe:exe.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ylzmpnzm.sys','');
     DeleteService('ylzmpnzm');
     QuarantineFile('C:\WINDOWS\System32\Drivers\webvfygj.sys','');
     DeleteService('webvfygj');
     QuarantineFile('C:\WINDOWS\System32\Drivers\veockjky.sys','');
     DeleteService('veockjky');
     QuarantineFile('C:\WINDOWS\System32\Drivers\tlmeaxlc.sys','');
     DeleteService('tlmeaxlc');
     QuarantineFile('C:\WINDOWS\System32\Drivers\qrrmxqvc.sys','');
     DeleteService('qrrmxqvc');
     QuarantineFile('C:\WINDOWS\System32\Drivers\pazzydpl.sys','');
     DeleteService('pazzydpl');
     QuarantineFile('C:\WINDOWS\System32\Drivers\oxrshiag.sys','');
     DeleteService('oxrshiag');
     QuarantineFile('C:\DOCUME~1\4F37~1\LOCALS~1\Temp\nenum13E.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\mqsfdrkl.sys','');
     DeleteService('mqsfdrkl');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lihzachy.sys','');
     DeleteService('lihzachy');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ldnqlaly.sys','');
     DeleteService('ldnqlaly');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kxvbsyeg.sys','');
     DeleteService('kxvbsyeg');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kvkwnkbw.sys','');
     DeleteService('kvkwnkbw');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kiljjcyb.sys','');
     DeleteService('kiljjcyb');
     QuarantineFile('C:\WINDOWS\System32\Drivers\izedousy.sys','');
     DeleteService('izedousy');
     QuarantineFile('C:\WINDOWS\System32\Drivers\gqfwwfwq.sys','');
     DeleteService('gqfwwfwq');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ffhlfzov.sys','');
     DeleteService('ffhlfzov');
     QuarantineFile('C:\WINDOWS\System32\Drivers\eqkopvzk.sys','');
     DeleteService('eqkopvzk');
     QuarantineFile('C:\WINDOWS\System32\Drivers\czascinx.sys','');
     DeleteService('czascinx');
     DeleteFile('C:\WINDOWS\System32\Drivers\czascinx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\eqkopvzk.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ffhlfzov.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\gqfwwfwq.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\izedousy.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kiljjcyb.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kvkwnkbw.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kxvbsyeg.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ldnqlaly.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lihzachy.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\mqsfdrkl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\oxrshiag.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\pazzydpl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\qrrmxqvc.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\tlmeaxlc.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\veockjky.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\webvfygj.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ylzmpnzm.sys');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0019931.exe:exe.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Компьютер недоступен до сегодняшнего вечера, отпишусь примерно после 21:00 по MSK

    Карантин загрузил

  5. #4
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Готово, новые логи и свежий карантин прилагаются.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    >> Заблокированы настройки системы System Restore
    Это Ваших рук дело или проделки вирусов?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0051021.exe:exe.exe:$DATA','');
     DeleteFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0051021.exe:exe.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Это Ваших рук дело или проделки вирусов?
    Не моих точно, да и маловероятно что владелец компа до такого мог додуматься...

    Логи приложил, карантин через секунду будет согласно правилам приложения 3
    Извините за прошлый, совсем замотался...
    Последний раз редактировалось alidml; 18.02.2010 в 21:40. Причина: Карантин залил

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Готово, извините за задержку...

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    В логе чисто, проблемы решены?
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Рекомендую обновить, + установить последние обновления на ОС.

  11. #10
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    В логе чисто, проблемы решены?

    Рекомендую обновить, + установить последние обновления на ОС.
    С проблемой не ясно, владелеца компа говорит, что после последнего скрипта ошибка svchost появлялась но с какимто другим текстом, нажимать ок\отмена она не стала, а просто вырубила комп...

    Завтра расскажет как дела обстоят.

    Про обновления знаю, но немного проблематично, обновлю при первой возможности.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от alidml Посмотреть сообщение
    С проблемой не ясно, владелеца компа говорит, что после последнего скрипта ошибка svchost появлялась но с какимто другим текстом, нажимать ок\отмена она не стала, а просто вырубила комп...
    Нужен комплект логов, +лог MBAM

  13. #12
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    Нужен комплект логов, +лог MBAM
    Хорошо, будет завтра

  14. #13
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Проблема не решена, тот же svchost также вешает комп, даёт перезагрузится через раз, приходиться resetом

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Trojan.Agent) -> No action taken.
    
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
     DeleteService('ICF');
     DeleteService('nenum13E');
     QuarantineFile('C:\DOCUME~1\4F37~1\LOCALS~1\Temp\nenum13E.sys','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
     DeleteFile('C:\DOCUME~1\4F37~1\LOCALS~1\Temp\nenum13E.sys');
    BC_ImportAll;
    BC_DeleteSvc('ICF');
    ExecuteSysClean;
    Executerepair(7);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Сделайте лог MBAM

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 54
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\system volume information\_restore{fe26e435-55a7-414a-89c2-a34e7cda1ec2}\rp13\a0019931.exe:exe.exe:$data - Trojan.Win32.Agent.dlfu ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABX )
      2. c:\system volume information\_restore{fe26e435-55a7-414a-89c2-a34e7cda1ec2}\rp13\a0051021.exe:exe.exe:$data - Trojan.Win32.Agent.dlfu ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABX )
      3. c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.dlfu ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABX )


  • Уважаемый(ая) alidml, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 25.11.2011, 23:57
    2. Ответов: 2
      Последнее сообщение: 20.12.2010, 17:18
    3. Память не может быть "written"
      От ямихаил в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.12.2010, 03:19
    4. Память не может быть "written"
      От ANDIVA в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:15
    5. Память не может быть "read" или "written"
      От AloV в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 04:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00686 seconds with 17 queries