посмотрите, пожалуйста.

Printable View

Показывать 40 сообщений этой темы на одной странице

05.06.2009, 18:35
gr16man

Вложений: 3

посмотрите, пожалуйста.

Доброго времени суток!
Проблема в следующем. В последнее время комп стал часто тормозить, особенно сильно с интернетом. При этом наблюдалось аж несколько мне непонятных вещей - загруз процессора процессом system и просто невероятный исходящий трафик от процесса svchost.exe на порте 1900. может это и нормально, я не знаю=). сегодня утром мне позвонили из провайдера и сообщили, что меня временно условно блокируют потому что с моего ip идет спам, естесственно немедленно проверился антивирем (KIS2009), который нашел и вылечил c/windows/system32/drivers/***.sys (их было около 10) и оттуда же удалил svchost.exe и 1.exe
но сейчас все равно с svchost.exe и system идет исходящий трафик, что очень не нравится
логи прилагаю, посмотрите пожалуйста, мне ком лечить надо или голову от паранойи?
p.s. неделю назад долбался и лечился каспером от net-worm.win32.kido, тогда оно сидело в c/windows/system32 и носило имя 1.tmp или ***.dll - может это он?
05.06.2009, 18:46
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
05.06.2009, 19:44
gr16man

Вложений: 3

сделал, сейчас пришлю карантин, только разберусь как делать)
а что Вы сделали тем скриптом? просто теперь после загрузки винда ругается на его отсутствие))
05.06.2009, 20:53
gr16man

карантин ушел

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

исходящий трафик 6 кб/с - видимо спам все еще идет(

[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]

гм.. только что удостоился синего экрана. постепенно начинается паника XDD
а после того скрипта при каждом включении оно находит "новое устройство". что это?
05.06.2009, 21:31
Aleksandra

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]

2. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]F2 - REG:system.ini: Shell=explorer.exe rundll32.exe calc.ifo beforemain[/QUOTE]

3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
05.06.2009, 21:56
gr16man

эмм.. не хочу показаться идиотом, но я не нашел такой строчки в hijackthis(
05.06.2009, 22:00
Aleksandra

Тогда пропускаем...
05.06.2009, 22:02
gr16man

логи выкладывать?
05.06.2009, 22:09
Aleksandra

Да.
05.06.2009, 22:10
gr16man

Вложений: 2

на всякий случай выложу
05.06.2009, 22:14
Aleksandra

Ничего зловредного в логах нет. Что с проблемами?
05.06.2009, 22:20
gr16man

трафика нету, тормозит меньше
СПАСИБО!!
осталось 2 вопроса
1) что делать с процессом system (грузит проц+трафик)
2) то, что svchost.exe выкидывает трафик в инет - это нормально?
ну, извиняюсь за свою тупизну и паранойю))
05.06.2009, 22:27
Aleksandra

У Вас на машине стоит KIS. Зачем нужно было ставить AGAVA Firewall?
05.06.2009, 22:29
gr16man

ээ.. ну как.. паника))
да, тупость сделал
уже снес
05.06.2009, 22:34
Aleksandra

[QUOTE=gr16man;412480]
осталось 2 вопроса
1) что делать с процессом system (грузит проц+трафик)
2) то, что svchost.exe выкидывает трафик в инет - это нормально?
ну, извиняюсь за свою тупизну и паранойю))[/QUOTE]
1. С помощью [URL="http://download.sysinternals.com/Files/ProcessExplorer.zip"]Process Explorer[/URL] посмотрите что грузит ЦП...

2. Сделайте такой лог [URL]http://virusinfo.info/showthread.php?t=40118[/URL]
05.06.2009, 22:55
gr16man

Вложений: 1

вот сейчас system почти не грузит..
вот про svchost.exe - есть такая директория:
C:\WINDOWS\System32\svchost.exe
и такая:
C:\WINDOWS\system32\svchost.exe
это ок?

gmer на что-то руганулся
05.06.2009, 23:08
Aleksandra

[QUOTE=gr16man;412497]gmer на что-то руганулся[/QUOTE]
Это остатки от Kido. Сейчас зачистим.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

[CODE]gmer.exe -del service azjyym
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym\Parameters@ServiceDll"
gmer -reboot[/CODE]
05.06.2009, 23:31
gr16man

Вложений: 1

сделала как было написано, при этом на каждом действии оно выдавало ошибку

когда начал сканить gmer'ом по новой, оно подвисло и ушло в синий экран
однако теперь он не ругается на то, что там кажется был руткит
05.06.2009, 23:53
Aleksandra

Теперь чисто.

[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]

Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
05.06.2009, 23:55
gr16man

отлично))
а что можно поделать с тем, что комп при запуске пытается установить какое-то новое оборудование и хочет в инет на майкрософт апдейт?
появилось после первого скрипта..)

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

ой, не увидел, счас сделаю

Показывать 40 сообщений этой темы на одной странице