Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

зараза с svchost (заявка № 73568)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61

    Thumbs up зараза с svchost

    помогите, пожалуйста, в борьбе с заразой! сделал скан через avz по правилам, но сохранить лог по правилам ему уже не удается получилось только как txt. перекинулось с другого компа через сетку. каждый раз при загрузке компа ругается на ссылку на какой-нибудь левак в Administrator/Local Settings/Temp. типа A.exe или B.exe и т.п.на другом компе в принципе не запускается ни avz, ни hijack (переименованные) hijack вообще вылетает в синий экран через пару секунд после старта.

    посоветуйте, как побороть эту заразу?
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:29.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте логи полиморфным AVZ (ссылка в подписи)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    полиморфный avz завис за 25 секунд до предполагаемого окончания и висит уже полчаса над адресом windows\system32\drivers\etc. по видимому, довести до конца он скрипт "помогите с лечением/карантином" не сможет. есть еще какие-нибудь способы подкопаться?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    запускал полиморфного avz (в обыкновенном режиме, safe mode не запускаетс€, синий экран мелькает и на перезагрузку), он что-то запихал в карантин, но в итоге за 11 секунд до окончани€ подвис на все том же system32/driver/etc. прилагаю соответствующий лог.

    запуск combofix не помог, виснет безнадежно на stage_2. avenger руткитов не нашел. а вот gmer пошел, сканил 4-5 часов. лог прилагаю.

    посмотрел autoruns.exe (пришлось сделать .сом, ехе вообще не запускаетс€), убрал галки напротив этих:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    AutoStart c:\documents and settings\administrator\local settings\temp\tmp1298.exe
    userini c:\windows\explorer.exe: userini.exe

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
    userini c:\windows\explorer.exe: userini.exe

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
    userini c:\windows\explorer.exe: userini.exe

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    userini c:\windows\explorer.exe: userini.exe

    правда последние два после новой загрузки по€вл€ютс€ снова.

    HiJackit не идет ни под каким видом - выплевывает синий экран такого рода: STOP: 0x000000F4 (0x00000003, 0x82BCE410, 0x82BCE584, 0x805FA7A и сразу на перезагрузку.


    что можно еще попробовать?
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:29.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    деинсталируйте аутпост ... и сделайте логи авз

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    деинсталируйте аутпост ... и сделайте логи авз
    логи сделать через стандартный скрипт "помогите" с лечением/карантином?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Да. По правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    деинсталируйте аутпост ... и сделайте логи авз
    удалил, но лог не может сделать вообще: подвисает на все том же system32/driver/etc.

    Добавлено через 9 часов 23 минуты

    удивляюсь, может ли вирус быть настолько хитрым. но на зараженном компе не запускается ничего c этот домена. все остальные сайты без проблем

    Добавлено через 11 часов 38 минут

    а дело не может быть в файлах в папке system32/drivers/etc? насколько я понял, файл hosts может быть проблемным. в папке system32/drivers/etc лежат hosts, hosts.ics, lmhosts.sam, networks, protocol и services. могут они смущать avz?

    Добавлено через 2 часа 20 минут

    mrak74, у меня лимит сообщений исчерпался. напишу пока хоть сюда:

    Цитата Сообщение от mrak74
    Цитата Сообщение от d.schmitz
    Цитата Сообщение от mrak74
    А запинается сканирование любым сканером на одном и том же месте (на тех же самых файлах)....Я к тому что файл как правило на определенном секторе HDD записан. Может есть смысл HDD Regeneratorom прогнать или chkdsk попробовать
    попробую. а дело не может быть в самих этих файлах? насколько я понял, файл hosts может быть проблемным. в папке system32/drivers/etc лежат hosts, hosts.ics, lmhosts.sam, networks, protocol и services. могут они смущать avz?
    файл HOSTS встречается модифицированным вирусами, когда в нем прописаны сайты антивирусов, для того чтобы не было возможности зайти на них. Но случаев запинания при снятии логов AVZ кроме как при в ключенном другом антивирусе который мирно пропустил вирусы в систему, а потом при снятии логов AVZ встрепенулся и принял попытки удалить, в свою очередь AVZ "тянет одеяло к себе" вот и происходит стоп чтения на этом месте. Но насколько я помню вам уже рекомендовали снести Agnitum Outpost (на память, вроде он у вас стоял). Если снесли его и нет других антивирусов, скорее всего причина в HDD. А кстати какой размер файла Hosts у вас? Бывает разный, но умеренно отличаются размеры к примеру мой http://narod.ru/disk/18118520000/hosts.html хоть и по обьему 371 кб модифицирован от вредоносных сайтов, считывается AVZ без проблем

    эффект "встрепенулся" был пока я не отрубил avg. outpost я честно снес, сейчас для надежности выкорчевал совсем avg и nod32, который в принципк был отключен. попробую еще разик avz. мой hosts 4,75 MB. а что, его можно стянуть с другого компа один к одному? в autorun кстати нашел wrdr.kuo и qtwm.exe, что мне очень напоминает вот это: http://virusinfo.info/showthread.php?t=73720.

    Добавлено через 10 минут

    mrak74, спасибо. пойду по вашей ссылке почитаю про Hosts
    Последний раз редактировалось d.schmitz; 17.03.2010 в 03:40. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    УРА! удалось снять лог avz. прикрепляю.
    Последний раз редактировалось pig; 17.03.2010 в 06:30. Причина: карантин в теме неуместен

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это был не лог.

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    пардон. вот теперь лог:
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:29.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('C:\Dokumente und Einstellungen\Administrator\wnmyfqk.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
     DeleteService('usbf27');
     DeleteService('usbf25');
     QuarantineFile('C:\WINDOWS\system32\Drivers\usbf25.sys','');
     DeleteService('jhzzmaji');
     QuarantineFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys','');
     QuarantineFile('C:\WINDOWS\system32\wrdr.kuo','');
     QuarantineFile('C:\WINDOWS\system32\qtwm.exe','');
     QuarantineFile('c:\windows\system32\wmicvrt.exe','');
     DeleteFile('c:\windows\system32\wmicvrt.exe');
     DeleteFile('C:\WINDOWS\system32\qtwm.exe');
     DeleteFile('C:\WINDOWS\system32\wrdr.kuo');
     DeleteFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\usbf25.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
     DeleteFile('C:\Dokumente und Einstellungen\Administrator\wnmyfqk.exe');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0044848.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0045858.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0049079.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0050142.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0050143.exe:userini.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
    ExecuteRepair(16);
    ExecuteRepair(9);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    шлю карантин и логи. наблюдения: после выполнения скрипта и перезагрузки, ужасно затормозилась система. так что проводник открывается минут 10. обращение к винчестеру при этом практически нулевое, то есть все жрет оперативка. в taskmanager заглянул: svchost ест 92 и больше памяти. что примечательно, если установить соединение с инетом, оперативка облегчается, и только благодаря этому снятие логов стало вообще возможным. и еще небольшое замечание: при выключении компа мелькает показательно сворачивающийся процесс qwtplugin.exe.
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:29.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('usbf27');
     DeleteService('usbf25');
     QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\usbf25.sys','');
     QuarantineFile('C:\WINDOWS\system32\koosoufeboo.exe','');
     QuarantineFile('C:\WINDOWS\system32\bezool.exe','');
     SetServiceStart('jhzzmaji', 4);
     DeleteService('jhzzmaji');
     QuarantineFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys','');
     QuarantineFile('C:\WINDOWS\system32\wmicvrt.exe','');
     TerminateProcessByName('c:\windows\temp\wpv451268842301.exe');
     QuarantineFile('c:\windows\temp\wpv451268842301.exe','');
     TerminateProcessByName('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe');
     QuarantineFile('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe','');
     TerminateProcessByName('c:\windows\system32\qtwm.exe');
     QuarantineFile('c:\windows\system32\qtwm.exe','');
     TerminateProcessByName('c:\windows\system32\qtplugin.exe');
     QuarantineFile('c:\windows\system32\qtplugin.exe','');
     DeleteFile('c:\windows\system32\qtplugin.exe');
     DeleteFile('c:\windows\system32\qtwm.exe');
     DeleteFile('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe');
     DeleteFile('c:\windows\temp\wpv451268842301.exe');
     DeleteFile('C:\WINDOWS\system32\wmicvrt.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
     DeleteFile('C:\WINDOWS\system32\bezool.exe');
     DeleteFile('C:\WINDOWS\system32\koosoufeboo.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','dyta');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','koomu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryWm');
     DeleteFile('C:\WINDOWS\system32\Drivers\usbf25.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    спасибо вам за оперативность. сделал и прислал. правда наверное следовало сегодняшний карантин (предыдущий) до выполнения скрипта очистить, а то эти файлы, наверное, добавились к старым.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Делайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    вот новые:
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:29.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
    DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
     QuarantineFile('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\bezool.exe','');
     QuarantineFile('C:\Dokumente und Einstellungen\Administrator\fkrxsdt.exe','');
     QuarantineFile('C:\WINDOWS\system32\solury.exe','');
     DeleteService('tesaauswzsyp3rso');
     QuarantineFile('C:\WINDOWS\System32\Drivers\csabbfcc.sys','');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('c:\windows\system32\userini.exe','');
     DeleteFile('c:\windows\system32\userini.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\csabbfcc.sys');
     DeleteFile('C:\WINDOWS\system32\solury.exe');
     DeleteFile('C:\Dokumente und Einstellungen\Administrator\fkrxsdt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
     DeleteFile('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\bezool.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','koomu');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','koomu');
     DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connec-tion Wizard Setup Tool');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    спасибо, thyrex. вечером смогу прогнать.

  • Уважаемый(ая) d.schmitz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. зараза svchost.com
      От AleXPander в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.03.2010, 00:13
    2. зараза в svchost
      От Dust в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.03.2010, 09:41
    3. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    4. Какая-то зараза запускает svchost в окне
      От Fortunate в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:10
    5. Зараза в system32\svchost.exe:ext.exe:$DATA и что еще???
      От JohnDoe в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00849 seconds with 19 queries