Показано с 1 по 9 из 9.

Создаются подозрительные файлы, тормоза системы. (заявка № 85210)

  1. #1
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    25

    Thumbs up Создаются подозрительные файлы, тормоза системы.

    Здравствуйте.
    При каждой загрузке системы в трее появляется уведомление

    Через некоторое время DrWeb какую-то гадость блокирует.
    Вручную удалял файлы, определяемые AVZ как подозрительные. Но при перезагрузке они вновь появляются. Оногда появляется окно shutdown с уведомлением о перезагрузке компа в результате аварийного завершения svchost.exe.
    Р.S Система без SP3 и критических обновлений. Их поставлю сразу, как избавлюсь от зловреда.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\sqlserv.exe','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.ocx','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
     DeleteService('acpi24Drv');
     DeleteFile('C:\WINDOWS\system32\acpi24.sys');
     DeleteFile('C:\WINDOWS\system32\acpi24.dll');
     DeleteFile('C:\WINDOWS\system32\acpi24.ocx');
    ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Проверьте наличие файла sfcfiles.dll в папке system32 и при его отсутствии восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Файлы c:\wuauserv.log и c:\BITS.log прикрепите к сообщению

    Сделайте новые логи

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    25
    Проблема с неопознаным оборудованием решилась - в system32 не было файла sfcfiles.dll
    После экспорта веток wuauserv и BITS оказалось, что они пустые. В логах была только строка REGEDIT4.
    Импортировал со здоровой машины - проблема исчезла.
    Выполнил скрипт в АВЗ. После чего смог разблокировать SafeMode.
    Затем запустил CureIt. Тот изничтожил зоопарк троянов.
    После прошелся еще mbam со свежими базами. Тот, в свою очередь, нашел еще malware и почистил. Но после прохода mbam опять появились строчки в логах AVZ
    Код:
    Нестандартный ключ реестра для системной службы: BITS ImagePath=""
    Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
    Прошелся еще GMER - в логах чисто.

    P.S. Посмотрите на мою самостоятельную попытку составления скрипта

    Код:
    begin
       SearchRootkit (true, true);
       SetAVZGuardStatus(True);
       // From HiJackThis
       QuarantineFile('C:\WINDOWS\system32\iexplorer.exe','');
       DeleteFile('C:\WINDOWS\system32\iexplorer.exe');
       QuarantineFile('C:\WINDOWS\system32\cgwggg.exe','');
       DeleteFile('C:\WINDOWS\system32\cgwggg.exe');
       StopService('360Tay'); 
       QuarantineFile('C:\WINDOWS\system32\360tay.exe','');
       DeleteService('360Tay', true);
       StopService('FireFox2'); 
       QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
       DeleteService('FireFox2', true);
       StopService('gtey'); 
       QuarantineFile('C:\WINDOWS\system32\cgwggg.exe','');
       DeleteService('gtey', true);
    
       // From AVZ
       QuarantineFile('c:\windows\system32\ebkhw.biz','');
       DeleteFile('c:\windows\system32\ebkhw.biz');
       StopService('sptd');
       SetServiceStart('sptd', 4);
       DeleteService('sptd');
       DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');   
       StopService('spze.sys');
       SetServiceStart('spze.sys', 4);
       DeleteService('spze.sys');
       DeleteFile('spze.sys');   
    
       BC_ImportALL;
       ExecuteSysClean;   
       BC_DeleteSvc('sptd');
       BC_Activate;
       RebootWindows(true);
    end.
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Практически правильный. Но логи RSIT показывают наличие у Вас еще больше гадости

    Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    25
    thyrex
    Попутно еще вопрос...
    Можно ли при текущем состоянии дел поставить SP3, IE8 и актуальные критические апдейты или только после полного изничтожения паразитов?

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Можно обновиться
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    25
    Поставил SP3, IE8 и критические апдейты по июль включительно.
    Посмотрите, пожалуйста, на логи.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    c:\windows\System32\drivers\beep.sys восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\hgpasclib.dll
    c:\windows\system32\wayige.exe
    c:\windows\system32\gchk.exe
    c:\windows\system32\wayic.dll
    c:\windows\system32\wayi.exe
    c:\windows\system32\AntiVC.dll
    c:\windows\system32\gametower.exe
    
    Driver::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "SopSrv"=-  
    "HglSrv"=-
    "HgpSrv"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    25
    thyrex
    Как только выложил последние логи продолжил собственное расследование, так как проблема с нестабильно работающим интернет-соединением не исчезла.
    Лишние записи в списке служб, запускаемых svchost обнаружил и удалил. Проблема исчезла.
    После вашего последнего ответа отправил хозяйке компьютера список файлов из system32 которые рекомендовано удалить. Она все удалила. Высланый мной beep.sys подложила.
    С повторным логом ComboFix заминка - девочка не обладает достаточным опытом, а у меня пока нет возможности сделать это самому.
    Думаю тему можно закрывать, так как по словам хозяйки все работает хорошо и ее ничего более не беспокоит

  • Уважаемый(ая) kiko37, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 01.04.2012, 13:36
    2. Ответов: 0
      Последнее сообщение: 19.02.2011, 11:26
    3. Ответов: 6
      Последнее сообщение: 01.09.2010, 19:07
    4. Подозрительные файлы,зависание системы
      От Casseopea в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.08.2010, 10:33
    5. Подозрительные тормоза, возможно руткит?
      От SSB777 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.08.2010, 09:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01061 seconds with 20 queries