Показано с 1 по 10 из 10.

проверка системы (заявка № 93511)

  1. #1
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    18
    Вес репутации
    26

    Thumbs up проверка системы

    Здравствуйте, уважаемые эксперты

    Если не затруднит вас, не могли бы посмотреть мои логи, полностью ли там в порядке система. Особых проблем в общем-то не наблюдаю, но параноя замучила. В списке процессов откуда-то появился шестой экземпляр svchost.exe (до этого было их всегда 5), и компьютер стал загружаться, как показалось мне, чуть дольше чем раньше

    Заранее благодарен,
    imill
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('\\?\globalroot\systemroot\system32\SNliwSy.exe','');
     QuarantineFile('C:\WINDOWS\system32\6f0720d6.exe','');
     DeleteFile('C:\WINDOWS\system32\6f0720d6.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\SNliwSy.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    18
    Вес репутации
    26
    Спасибо, скрипты все выполнил, логи собрал. Папка Quarantine пуста. Загружаться стал компьютер намного быстрее. Правда, шестой экземпляр svchost.exe до сих пор болтается в списке процессов. Интересно, откуда он мог там взяться.....

    С уважением,
    imill
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Количество процессов svchost на разных системах может отличаться

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    18
    Вес репутации
    26
    Спасибо, выполнил полное сканироваине системного диска C:\, результат в аттаче. Шестой svchost.exe появился всего пару дней назад, до этого их всегда было пять....

    С уважением,
    imill
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    
    
    Заражённые папки:
    c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\Leonid\application data\wiaserva.log (Malware.Trace) -> No action taken.
    c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
    c:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken.
    c:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken.
    c:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
    c:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
    c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
    Перезагрузитесь.
    Повторите лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    18
    Вес репутации
    26
    Большое спасибо, все отмеченное удалил. Новые логи чистые. Хотя количество процессов svchost.exe в диспетчере задач осталось по-прежнему шесть...

    С уважением,
    imill
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    А также

    Смените все пароли
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    18
    Вес репутации
    26
    Спасибо большое вам за советы. Подумал немного и решил ограничиться уже проделанной работой. Установка обновлений и сервис паков - не совсем та работа, которой хотелось в ближайшее время заниматься. Хотя на будущее буду иметь в виду. Я просто думал, что есть какой-то способ узнать, откуда берутся экземпляры svchost и какие службы их запускают. Но если нет такой возможности, и все антивирусы подтверждают чистоту системы, наверное, остановлюсь на этом в надежде, что шестой svchost запустился по делу и выполняет какую-нибудь полезную работу. В общем, спасибо еще раз за помощь, успехов вам и вашему проекту и с наступающим Новым годом!!!

    А вот про смену паролей вы меня слегка озадачили..... Неужели что-то из того, что я удалял, занималось воровством паролей? Совсем не хотелось мне этим сейчас заниматься, их же огромное количество, и запомнить сразу такую массу было бы совсем не просто. Их даже сейчас тяжело держать в голове....

    С уважением,
    imill

  • Уважаемый(ая) imill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проверка системы
      От vexon в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.03.2012, 12:40
    2. Проверка системы
      От vexon в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.01.2012, 02:02
    3. Проверка системы
      От xCERBERx в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.01.2011, 10:22
    4. Проверка системы
      От Billowed в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.01.2011, 12:38
    5. Проверка системы
      От Neo-473 в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 11.03.2010, 14:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00234 seconds with 21 queries