Printable View
доброго времени суток!
компьютер тупит - процесс system потребляет все доступные ресурсы, особенно при попытке зайти в сетевые папки, открыть MSOutlook
ранее, примерно неделю назад, был прибит руткит, создававший в памяти процесс с именем типа Ysi36.sys.
также были обнаружены и прибиты dBenderC.dll simbad.sys и sparrow.sys.
кроме того, пандовский антируткит ругнулся на ntuser.dat и пофиксил его.
логи прилагаю
заранее спасибо за помощь.
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\soemu.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=20932[/url]).
карантин отправил, но этот файл я вчера проверял, вроде чистый
Подождем ответа аналитиков.
Да, чистый. Больше ничего плохого не видать.
А этих за что - simbad.sys и sparrow.sys?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Еще вот это озадачивает:
[quote]пандовский антируткит ругнулся на ntuser.dat и пофиксил его[/quote]
Это же пользовательский куст реестра, как это он его "пофиксил"?
Полный путь этого ntuser.dat не помните?
[quote=Bratez;210240]Да, чистый. Больше ничего плохого не видать.
А этих за что - simbad.sys и sparrow.sys?
[SIZE=1][COLOR=#666686][B][I]Добавлено через 3 минуты[/I][/B][/COLOR][/SIZE]
Еще вот это озадачивает:
Это же пользовательский куст реестра, как это он его "пофиксил"?
Полный путь этого ntuser.dat не помните?[/quote]
simbad.sys и sparrow.sys удалил из списка служб, на всякий случай... они все равно не запущены были... [url]http://www.google.com/search?ie=UTF-8&hl=ru&q=simbad.sys[/url]
насчет ntuser.dat. Пандоруткитолов написал, что данный файл является руткитом и его необходимо валить, я поставил галку, отправил комп на перезагрузку, больше ничего не нашлось...
путь был типа C:\Documents and Settings\Пользователь\ntuser.dat
во, еще логи Комбофикса нашел, во вложении:
[quote]компьютер тупит - процесс system потребляет все доступные ресурсы[/quote]
Есть вероятность, что ситуация связана с багом установленного у вас DrWeb ES. По непроверенным данным это исправлено в последнем обновлении. Попробуйте обновиться прямо сейчас.
[SIZE=1]([B]Numb[/B] - спасибо за инф.)[/SIZE]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
C:\Documents and Settings\Пользователь\ntuser.dat - это именно пользовательский куст. Видимо, система не позволила его прибить, т.к. иначе ваш профиль бы не загрузился.
из 10 компов только у одного такая беда :(
DrWEB лицензионный, обновляется регулярно, попробую накатить обновления, по результатам отпишусь.
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
полностью обновил DrWEB, тестирую. вроде загрузка упала до естественных значений, погоняю полдня и отпишусь.
оффтоп. вообще, я читал про схожие проблемы из-за DrWeb. но думал, что их пофиксили давно...
хотя есть предположение, что данная станция по какой-то причине не обновилась вместе с остальными.
ЗЫ Спасибо за помощь!
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 28 минут[/I][/B][/color][/size]
компьютер проработал до вечера без нареканий, проблему можно считать решенной, еще раз спасибо за помощь!
ЗЫ я уж было начал сомневаться в своих силах, думал, что что-то проглядел :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\soemu.sys - [B]Rootkit.Win32.Agent.fyr[/B][/LIST][/LIST]