Показано с 1 по 9 из 9.

Создаются подозрительные файлы, тормоза системы. (заявка № 85210)

  1. #1
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    51

    Thumbs up Создаются подозрительные файлы, тормоза системы.

    Здравствуйте.
    При каждой загрузке системы в трее появляется уведомление

    Через некоторое время DrWeb какую-то гадость блокирует.
    Вручную удалял файлы, определяемые AVZ как подозрительные. Но при перезагрузке они вновь появляются. Оногда появляется окно shutdown с уведомлением о перезагрузке компа в результате аварийного завершения svchost.exe.
    Р.S Система без SP3 и критических обновлений. Их поставлю сразу, как избавлюсь от зловреда.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\sqlserv.exe','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.ocx','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
     DeleteService('acpi24Drv');
     DeleteFile('C:\WINDOWS\system32\acpi24.sys');
     DeleteFile('C:\WINDOWS\system32\acpi24.dll');
     DeleteFile('C:\WINDOWS\system32\acpi24.ocx');
    ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Проверьте наличие файла sfcfiles.dll в папке system32 и при его отсутствии восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Файлы c:\wuauserv.log и c:\BITS.log прикрепите к сообщению

    Сделайте новые логи

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    51
    Проблема с неопознаным оборудованием решилась - в system32 не было файла sfcfiles.dll
    После экспорта веток wuauserv и BITS оказалось, что они пустые. В логах была только строка REGEDIT4.
    Импортировал со здоровой машины - проблема исчезла.
    Выполнил скрипт в АВЗ. После чего смог разблокировать SafeMode.
    Затем запустил CureIt. Тот изничтожил зоопарк троянов.
    После прошелся еще mbam со свежими базами. Тот, в свою очередь, нашел еще malware и почистил. Но после прохода mbam опять появились строчки в логах AVZ
    Код:
    Нестандартный ключ реестра для системной службы: BITS ImagePath=""
    Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
    Прошелся еще GMER - в логах чисто.

    P.S. Посмотрите на мою самостоятельную попытку составления скрипта

    Код:
    begin
       SearchRootkit (true, true);
       SetAVZGuardStatus(True);
       // From HiJackThis
       QuarantineFile('C:\WINDOWS\system32\iexplorer.exe','');
       DeleteFile('C:\WINDOWS\system32\iexplorer.exe');
       QuarantineFile('C:\WINDOWS\system32\cgwggg.exe','');
       DeleteFile('C:\WINDOWS\system32\cgwggg.exe');
       StopService('360Tay'); 
       QuarantineFile('C:\WINDOWS\system32\360tay.exe','');
       DeleteService('360Tay', true);
       StopService('FireFox2'); 
       QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
       DeleteService('FireFox2', true);
       StopService('gtey'); 
       QuarantineFile('C:\WINDOWS\system32\cgwggg.exe','');
       DeleteService('gtey', true);
    
       // From AVZ
       QuarantineFile('c:\windows\system32\ebkhw.biz','');
       DeleteFile('c:\windows\system32\ebkhw.biz');
       StopService('sptd');
       SetServiceStart('sptd', 4);
       DeleteService('sptd');
       DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');   
       StopService('spze.sys');
       SetServiceStart('spze.sys', 4);
       DeleteService('spze.sys');
       DeleteFile('spze.sys');   
    
       BC_ImportALL;
       ExecuteSysClean;   
       BC_DeleteSvc('sptd');
       BC_Activate;
       RebootWindows(true);
    end.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Практически правильный. Но логи RSIT показывают наличие у Вас еще больше гадости

    Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    51
    thyrex
    Попутно еще вопрос...
    Можно ли при текущем состоянии дел поставить SP3, IE8 и актуальные критические апдейты или только после полного изничтожения паразитов?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Можно обновиться
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    51
    Поставил SP3, IE8 и критические апдейты по июль включительно.
    Посмотрите, пожалуйста, на логи.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    c:\windows\System32\drivers\beep.sys восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\hgpasclib.dll
    c:\windows\system32\wayige.exe
    c:\windows\system32\gchk.exe
    c:\windows\system32\wayic.dll
    c:\windows\system32\wayi.exe
    c:\windows\system32\AntiVC.dll
    c:\windows\system32\gametower.exe
    
    Driver::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "SopSrv"=-  
    "HglSrv"=-
    "HgpSrv"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    15.04.2010
    Сообщений
    28
    Вес репутации
    51
    thyrex
    Как только выложил последние логи продолжил собственное расследование, так как проблема с нестабильно работающим интернет-соединением не исчезла.
    Лишние записи в списке служб, запускаемых svchost обнаружил и удалил. Проблема исчезла.
    После вашего последнего ответа отправил хозяйке компьютера список файлов из system32 которые рекомендовано удалить. Она все удалила. Высланый мной beep.sys подложила.
    С повторным логом ComboFix заминка - девочка не обладает достаточным опытом, а у меня пока нет возможности сделать это самому.
    Думаю тему можно закрывать, так как по словам хозяйки все работает хорошо и ее ничего более не беспокоит

  • Уважаемый(ая) kiko37, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 01.04.2012, 13:36
    2. Ответов: 0
      Последнее сообщение: 19.02.2011, 11:26
    3. Ответов: 6
      Последнее сообщение: 01.09.2010, 19:07
    4. Подозрительные файлы,зависание системы
      От Casseopea в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.08.2010, 10:33
    5. Подозрительные тормоза, возможно руткит?
      От SSB777 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.08.2010, 09:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00957 seconds with 19 queries