Нетипичная загрузка процессора, возможно вирус.

[Adrian]

Утром 01.09.2008 вышел в Интернет с широкополосным доступом. Работал файрвол Agnitum Outpost Firewall Pro 2008 ver. 6.0.2225.232.0465. Заходил на пару сайтов, в том числе на mail.ru для просмотра почты. В это время начал ругаться Outpost, затем при работе Explorer-а выскочила какая-то ошибка. Отключил Интернет, отключил Outpost. Загрузил KAV 7.0.1.325 (базы от 29.06.200, выскочила ошибка антивируса и попытка отладки (картинки PrtScr могу выслать). Перед последним выключением компа проверял его на вирусы, все было нормально. После перезагрузки компьютера процессор загрузился на 70%, данная нетипичная загрузка продолжается бесконечно долго при каждой перезагрузки компа. Смотрю Диспетчер Задач, в процессах загружается файл LogWatNT.exe. При загрузки в безопасном режиме, процессор работает нормально. При первом входе в безопасный режим выскочила, какая-то ошибка с “Запуском серверных процессов DCOM”, перегрузился опять в безопасный режим, запустил KAV - была попытка отправить отчет об ошибке KAV – потом запустился.
LogWatNT.exe насколько я понимаю это приложение от программ Computer Associates, программы действительно установлены и нужны, но стоят уже более года и никаких проблем ранее не было.
[Служба Event Log Watch (Тип запуска - Авто).
Так продолжается постоянно.
Сделал все как в правилах. Высылаю файлы Вам. AVZ поместила что-то в карантин, если надо могу выслать.
Проверка KAV в безопасном режиме ничего не дала. Проверка CureIT Ver.4.44.5. в безопасном режиме выявила пару троянов во временных файлах.
Также проверял RootkitRevealer-ом, выскочили какие-то строчки из реестра и в том числе (картинку PrtScr могу выслать):
C\Windows\system32\oembios.exe – 01.09.2008 9:53 – 89 Kb – Hidden from Windows API
C\Windows\system32\sysproc64 – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
C\Windows\system32\sysproc64\sysproc32.sys – 01.09.2008 9:54 – 12.58 Kb – Hidden from Windows API
C\Windows\system32\sysproc64\sysproc86.sys – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
- все прописано именно тем временем, когда случился сбой. Самое интересное, что данные файлы я вижу через Total Com., но удалить не могу. Могу попробовать поместить их в карантин AVZ и отослать Вам.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
 QuarantineFile('C:\Documents and Settings\Maxcomp\70314.exe','');
 DeleteService('SjyPkt');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cvintdrv.sys','');
 DeleteService('QRLX');
 QuarantineFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\QRLX.exe','');
 DeleteFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\QRLX.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys');
 DeleteFile('C:\Documents and Settings\Maxcomp\70314.exe');
 DeleteFile('C:\WINDOWS\system32\oembios.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите лолги ...

[Adrian]

ОК. Сейчас сделаю.

[Adrian]

Выполнил данный скрипт. После выполнения комп перегрузился, но при перезагрузки после пропажи Рабочего стола задумался немного. После перезагрузки нетипичная загрузка процессора вроде пропала, файл LogWatNT.exe. в процессах Диспетчера задач молчит.
Высылаю новые логи и карантин. В карантин не стал бросать файлы P-Cad-а, т.к. они вроде должны быть чистые от вирусов, а во вторых весят много при том, что я сейчас в Инет выхожу с древнего компа с плохой скоростью Инета.
Объясните пожалуйста:
Что за файлы oembios.exe, sysproc32.sys, sysproc86.sys ??
Какой и где вирус то был?

Извиняюсь, что долго не отвечал, комп на котором работаю сейчас, ну очень древний, проблемы со связью.

[V_Bond]

в логах ничего зловредного ...

[Adrian]

В карантине я смотрю oembios.exe - 0 kb, хотя утром весил 90 kb.
Что за файл oembios.exe не знаешь?
Файлы sysproc32.sys, sysproc86 безвредные?

[Rene-gad]

Что за файл oembios.exe не знаешь?

oembios.exe - Trojan-Spy.Win32.Zbot.eng

Файлы sysproc32.sys, sysproc86 безвредные?

Угу, как воробушки: http://www.avira.com/ru/threats/sect....zbot.dfr.html

[Adrian]

Всем огромное СПАСИБО!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.eng (DrWEB: Trojan.Proxy.2509)