-
Junior Member
- Вес репутации
- 53
проверка системы
Здравствуйте, уважаемые эксперты
Если не затруднит вас, не могли бы посмотреть мои логи, полностью ли там в порядке система. Особых проблем в общем-то не наблюдаю, но параноя замучила. В списке процессов откуда-то появился шестой экземпляр svchost.exe (до этого было их всегда 5), и компьютер стал загружаться, как показалось мне, чуть дольше чем раньше
Заранее благодарен,
imill
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('\\?\globalroot\systemroot\system32\SNliwSy.exe','');
QuarantineFile('C:\WINDOWS\system32\6f0720d6.exe','');
DeleteFile('C:\WINDOWS\system32\6f0720d6.exe');
DeleteFile('\\?\globalroot\systemroot\system32\SNliwSy.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
Спасибо, скрипты все выполнил, логи собрал. Папка Quarantine пуста. Загружаться стал компьютер намного быстрее. Правда, шестой экземпляр svchost.exe до сих пор болтается в списке процессов. Интересно, откуда он мог там взяться.....
С уважением,
imill
-
Количество процессов svchost на разных системах может отличаться
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо, выполнил полное сканироваине системного диска C:\, результат в аттаче. Шестой svchost.exe появился всего пару дней назад, до этого их всегда было пять....
С уважением,
imill
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
Заражённые параметры в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\Leonid\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
Перезагрузитесь.
Повторите лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо, все отмеченное удалил. Новые логи чистые. Хотя количество процессов svchost.exe в диспетчере задач осталось по-прежнему шесть...
С уважением,
imill
-
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
А также
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо большое вам за советы. Подумал немного и решил ограничиться уже проделанной работой. Установка обновлений и сервис паков - не совсем та работа, которой хотелось в ближайшее время заниматься. Хотя на будущее буду иметь в виду. Я просто думал, что есть какой-то способ узнать, откуда берутся экземпляры svchost и какие службы их запускают. Но если нет такой возможности, и все антивирусы подтверждают чистоту системы, наверное, остановлюсь на этом в надежде, что шестой svchost запустился по делу и выполняет какую-нибудь полезную работу. В общем, спасибо еще раз за помощь, успехов вам и вашему проекту и с наступающим Новым годом!!!
А вот про смену паролей вы меня слегка озадачили..... Неужели что-то из того, что я удалял, занималось воровством паролей? Совсем не хотелось мне этим сейчас заниматься, их же огромное количество, и запомнить сразу такую массу было бы совсем не просто. Их даже сейчас тяжело держать в голове....
С уважением,
imill