проверка системы

Printable View

14.12.2010, 03:58
imill

проверка системы

Здравствуйте, уважаемые эксперты

Если не затруднит вас, не могли бы посмотреть мои логи, полностью ли там в порядке система. Особых проблем в общем-то не наблюдаю, но параноя замучила. В списке процессов откуда-то появился шестой экземпляр svchost.exe (до этого было их всегда 5), и компьютер стал загружаться, как показалось мне, чуть дольше чем раньше

Заранее благодарен,
imill
14.12.2010, 05:59
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('\\?\globalroot\systemroot\system32\SNliwSy.exe','');
QuarantineFile('C:\WINDOWS\system32\6f0720d6.exe','');
DeleteFile('C:\WINDOWS\system32\6f0720d6.exe');
DeleteFile('\\?\globalroot\systemroot\system32\SNliwSy.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
14.12.2010, 18:00
imill

Спасибо, скрипты все выполнил, логи собрал. Папка Quarantine пуста. Загружаться стал компьютер намного быстрее. Правда, шестой экземпляр svchost.exe до сих пор болтается в списке процессов. Интересно, откуда он мог там взяться.....

С уважением,
imill
15.12.2010, 01:44
thyrex

Количество процессов svchost на разных системах может отличаться

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
15.12.2010, 16:32
imill

Спасибо, выполнил полное сканироваине системного диска C:\, результат в аттаче. Шестой svchost.exe появился всего пару дней назад, до этого их всегда было пять....

С уважением,
imill
16.12.2010, 07:07
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.

Заражённые параметры в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\Leonid\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
[/CODE]
Перезагрузитесь.
Повторите лог MBAM
16.12.2010, 19:21
imill

Большое спасибо, все отмеченное удалил. Новые логи чистые. Хотя количество процессов svchost.exe в диспетчере задач осталось по-прежнему шесть...

С уважением,
imill
17.12.2010, 07:07
polword

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
17.12.2010, 20:33
thyrex

А также

[B]Смените все пароли[/B]
20.12.2010, 04:57
imill

Спасибо большое вам за советы. Подумал немного и решил ограничиться уже проделанной работой. Установка обновлений и сервис паков - не совсем та работа, которой хотелось в ближайшее время заниматься. Хотя на будущее буду иметь в виду. Я просто думал, что есть какой-то способ узнать, откуда берутся экземпляры svchost и какие службы их запускают. Но если нет такой возможности, и все антивирусы подтверждают чистоту системы, наверное, остановлюсь на этом в надежде, что шестой svchost запустился по делу и выполняет какую-нибудь полезную работу. В общем, спасибо еще раз за помощь, успехов вам и вашему проекту и с наступающим Новым годом!!!

А вот про смену паролей вы меня слегка озадачили..... Неужели что-то из того, что я удалял, занималось воровством паролей? Совсем не хотелось мне этим сейчас заниматься, их же огромное количество, и запомнить сразу такую массу было бы совсем не просто. Их даже сейчас тяжело держать в голове....

С уважением,
imill