4 неизвестных процесса

Printable View

26.11.2010, 00:08
fe085

4 неизвестных процесса

Поймал вирус, произошла инъекция ява скрипта через сайт,все что можно было удалить удалил.Проверил касперским и курелтом(в безопасном режиме а так же с live cd) а так же авз, зараза еще осталась.
В модулях пространсва ядра обнаружены сл. процессы:
1)spwb.sys - автогенерируемый процесс,местоположение неизвестно,при загрузке системы имя генерируется автоматом, начальная буква всегда 'S'
2)ah4yt3g0.SYS -автогенерируемый процесс, (C:\\windows\system32\drivers\ah4yt3g0.SYS)при загрузке системы имя генерируется автоматом, начальная буква всегда 'a',файл удаляется и при новой загрузке системы создается новый
3)dump_diskdump.sys(C:\\windows\system32\drivers\dump_diskdump.sys)
4)dump_nvgts.sys.sys(C:\\windows\system32\drivers\dump_nvgts.sys.sys)
Все эти процессы невозможно скопировать в карантин - ошибка чтения.
Примерно раз в 15 мин система начинается сильно тормозить на протяжении 30 сек, будто мой жесткий сканируют, и процессов загружен на 100, все сильно тормозит.Папка с карантином весит 20мб, и там нет сис процессах, тк их невозможно было скопировать в карантин ( Прошу помощи, заранее благодарен
26.11.2010, 00:25
thyrex

Расписанные Вами файлы существуют только в памяти и они нормальные.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\QAHTVXYXO.exe','');
QuarantineFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\HKKQFIP.exe','');
DeleteService('QAHTVXYXO');
DeleteService('HKKQFIP');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\HKKQFIP.exe');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\QAHTVXYXO.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
26.11.2010, 14:58
fe085

не могу уничтожить вирус

Поймал вирус, произошла инъекция ява скрипта через сайт,все что можно было удалить удалил.Проверил касперским и курелтом(в безопасном режиме а так же с live cd) а так же авз, зараза еще осталась.
В модулях пространсва ядра обнаружены сл. процессы:
1)spwb.sys - автогенерируемый процесс,местоположение неизвестно,при загрузке системы имя генерируется автоматом, начальная буква всегда 'S'
2)ah4yt3g0.SYS -автогенерируемый процесс, (C:\\windows\system32\drivers\ah4yt3g0.SYS)при загрузке системы имя генерируется автоматом, начальная буква всегда 'a',файл удаляется и при новой загрузке системы создается новый
3)dump_diskdump.sys(C:\\windows\system32\drivers\dump_diskdump.sys)
4)dump_nvgts.sys.sys(C:\\windows\system32\drivers\dump_nvgts.sys.sys)
Все эти процессы невозможно скопировать в карантин - ошибка чтения.
Примерно раз в 15 мин система начинается сильно тормозить на протяжении 30 сек, будто мой жесткий сканируют, и процессов загружен на 100, все сильно тормозит.Папка с карантином весит 20мб, вложил туда файлы только некоторые, хотя там нет файлов которые были подозрительными в сис процессах, тк их невозможно было скопировать в карантин ( Прошу помощи, заранее благодарен
26.11.2010, 15:44
snifer67

[QUOTE]1)spwb.sys - автогенерируемый процесс,местоположение неизвестно,при загрузке системы имя генерируется автоматом, начальная буква всегда 'S'[/QUOTE]От эмулятора дисков.
[QUOTE]2)ah4yt3g0.SYS -автогенерируемый процесс, (C:\\windows\system32\drivers\ah4yt3g0.SYS)при загрузке системы имя генерируется автоматом, начальная буква всегда 'a',файл удаляется и при новой загрузке системы создается новый[/QUOTE]Аналогично первому.
[QUOTE]3)dump_diskdump.sys(C:\\windows\system32\drivers\d ump_diskdump.sys)
4)dump_nvgts.sys.sys(C:\\windows\system32\drivers\ dump_nvgts.sys.sys)
Все эти процессы невозможно скопировать в карантин - ошибка чтения.[/QUOTE]Нормальные файлы.
[QUOTE]Примерно раз в 15 мин система начинается сильно тормозить на протяжении 30 сек, будто мой жесткий сканируют, и процессов загружен на 100, все сильно тормозит.[/QUOTE]Это скорее всего от касперского.

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('QAHTVXYXO');
DeleteService('HKKQFIP');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\QAHTVXYXO.exe');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\HKKQFIP.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новые логи.
26.11.2010, 15:56
fe085

[QUOTE=thyrex;737998]Расписанные Вами файлы существуют только в памяти и они нормальные.
[/QUOTE]
Хм, неужели просесс 1) и 2) нормальные, они же не имеют стандарного имени и генерятся сл образом
Выслал карантин 101126_155321_virus_4cefadc191350.zip
и прикрепил новые логи
26.11.2010, 15:59
fe085

удалите пожалуйста эту тему, я случайно создал ее второй раз, спасибо что подробно описали процессы.

[moderated: объединены]
26.11.2010, 16:13
thyrex

[QUOTE='fe085;738230']они же не имеют стандарного имени и генерятся сл образом[/QUOTE]Именно так. Это эмуляторы

В логах придраться не к чему
27.11.2010, 16:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]