Добрый день, имеется проблема: в процессах постоянно висят 7+ svchost.exe, кушают довольно много памяти. Загрузка порядка 50% всегда. Также все остальные процессы потребляют в разы больше, чем на других машинах.
Добрый день, имеется проблема: в процессах постоянно висят 7+ svchost.exe, кушают довольно много памяти. Загрузка порядка 50% всегда. Также все остальные процессы потребляют в разы больше, чем на других машинах.
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по olblql и выберите "Turn Run Off", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\xdujpo.exe',''); QuarantineFile('C:\WINDOWS\system32\sidebar32.exe',''); QuarantineFile('C:\WINDOWS\system32\9b357889.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\olblql.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\olblql.sys'); DeleteFile('C:\WINDOWS\system32\9b357889.exe'); DeleteFile('C:\WINDOWS\system32\sidebar32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star'); DeleteFile('C:\WINDOWS\system32\xdujpo.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('olblql'); BC_Activate; RebootWindows(true); end.
c:\wuauserv.log прикрепите к сообщению
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин в AVZ пустой.
1. удалите в MBAM
2. Профиксите в HijackThisКод:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
3. Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\Program Files\Common Files\keylog.txt'); DeleteFile('C:\Documents and Settings\Пузан\Application Data\avdrn.dat'); DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true); DeleteDirectory('C:\Program Files\Common Files\wm'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- распакуйте файл из вложения, внесите информацию в реестр запустив его
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
Последний раз редактировалось polword; 26.08.2010 в 23:05.
Скрипты выполнил.
sfcfiles.log также прикрепите к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выкладываю.
- Замените файл C:\WINDOWS\system32\sfcfiles.dll, а также C:\WINDOWS\system32\dllcache\sfcfiles.dll на чистый из дистрибутива.
C:\WINDOWS\system32\sfcfiles.dll вообще отсутствует, вместо него C:\WINDOWS\system32\sfcfiles.bak.
C:\WINDOWS\system32\dllcache\sfcfiles.dll а папки dllcache у меня нет вообще.
И если заменять, можно взять файл со здоровой системы, или только из дистрибутива?
Последний раз редактировалось thyrex; 19.08.2010 в 15:48. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Если проблем нет, тогда на выписку
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблем вроде не замечаю, премного благодарен за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.biit ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Mojito, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.