проверка системы

[imill]

Здравствуйте, уважаемые эксперты

Если не затруднит вас, не могли бы посмотреть мои логи, полностью ли там в порядке система. Особых проблем в общем-то не наблюдаю, но параноя замучила. В списке процессов откуда-то появился шестой экземпляр svchost.exe (до этого было их всегда 5), и компьютер стал загружаться, как показалось мне, чуть дольше чем раньше

Заранее благодарен,
imill

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('\\?\globalroot\systemroot\system32\SNliwSy.exe','');
 QuarantineFile('C:\WINDOWS\system32\6f0720d6.exe','');
 DeleteFile('C:\WINDOWS\system32\6f0720d6.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\SNliwSy.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[imill]

Спасибо, скрипты все выполнил, логи собрал. Папка Quarantine пуста. Загружаться стал компьютер намного быстрее. Правда, шестой экземпляр svchost.exe до сих пор болтается в списке процессов. Интересно, откуда он мог там взяться.....

С уважением,
imill

[thyrex]

Количество процессов svchost на разных системах может отличаться

Сделайте лог полного сканирования МВАМ

[imill]

Спасибо, выполнил полное сканироваине системного диска C:\, результат в аттаче. Шестой svchost.exe появился всего пару дней назад, до этого их всегда было пять....

С уважением,
imill

[polword]

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.

Заражённые параметры в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.


Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\Leonid\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.

Перезагрузитесь.
Повторите лог MBAM

[imill]

Большое спасибо, все отмеченное удалил. Новые логи чистые. Хотя количество процессов svchost.exe в диспетчере задач осталось по-прежнему шесть...

С уважением,
imill

[polword]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[thyrex]

А также

Смените все пароли

[imill]

Спасибо большое вам за советы. Подумал немного и решил ограничиться уже проделанной работой. Установка обновлений и сервис паков - не совсем та работа, которой хотелось в ближайшее время заниматься. Хотя на будущее буду иметь в виду. Я просто думал, что есть какой-то способ узнать, откуда берутся экземпляры svchost и какие службы их запускают. Но если нет такой возможности, и все антивирусы подтверждают чистоту системы, наверное, остановлюсь на этом в надежде, что шестой svchost запустился по делу и выполняет какую-нибудь полезную работу. В общем, спасибо еще раз за помощь, успехов вам и вашему проекту и с наступающим Новым годом!!!

А вот про смену паролей вы меня слегка озадачили..... Неужели что-то из того, что я удалял, занималось воровством паролей? Совсем не хотелось мне этим сейчас заниматься, их же огромное количество, и запомнить сразу такую массу было бы совсем не просто. Их даже сейчас тяжело держать в голове....

С уважением,
imill