Показано с 1 по 12 из 12.

Караул. Помогите. Зависает все. svchost.exe жрет всю память. #2 (заявка № 37227)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59

    Question Караул. Помогите. Зависает все. svchost.exe жрет всю память. #2

    Выкладываю логи с компьютера №2 и результат сканирования gmer.exe. В самой программе gmer.exe. при сканировании красным цветом выделена строка

    Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) .

    Жду советы. Заранее благодарю.
    Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\gitntiep.dll',' ');
    DeleteFile('C:\WINDOWS\system32\gitntiep.dll');
    DeleteFileMask('%tmp% ','*.* ',true );    
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59
    Караантин пустой. Доктор Веб нашел файл
    gitntiep.dll',' '); и удалил его как раз перед вашим постом. Написал вирус WIN32.HLLW.Shadow.based . Хотя по отзывам других пострадавших - он не убивается и возвращантся вновь.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Логи повторите...

  6. #5
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59
    Повторяю логи.
    Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто, установите SP3+all updates...

  8. #7
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59
    SP3 уже стоит, сейчас буду качать обновления.
    А вот НОД постоянно выдает такие сообщения

    13.01.2009 14:58:06 AMON файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QJ61CDOT\szak[1].jpg Win32/Conficker.AE червь изолирован - удален - Ошибка при очистка - действие недоступно для этого типа объекта NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
    13.01.2009 14:58:05 IMON файл http://91.193.35.167:1617/szak Win32/Conficker.AE червь Связь завершена NT AUTHORITY\SYSTEM
    13.01.2009 14:57:22 AMON файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QJ61CDOT\szak[1].jpg Win32/Conficker.AE червь Ошибка при очистка - действие недоступно для этого типа объекта NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\WINDOWS\System32\svchost.exe.




    Беспокоит єта фраза Win32/Conficker.AE червь изолирован - удален - Ошибка при очистка - действие недоступно для этого типа объекта

    эта

    Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe.

    и эта

    13.01.2009 14:58:05 IMON файл http://91.193.35.167:1617/szak. Win32/Conficker.AE червь



    причем сам конечный файл постоянно разный варианты :szak[1].jpg , vrcffq[1].jpg, http://91.193.35.196:6065/vrcffq и т.д.

    строчка C:\WINDOWS\system32\gitntiep.dll Win32/Conficker.AE червь Ошибка при очистка - действие недоступно для этого типа объекта и уже очень сильно сомневаюсь. И кстати этот файл НОД нашел через 10 минут как Сканер Др.Веб его убил. Помогите разобраться.


    Добавлено через 9 минут

    Почему то адрес прорисовался как гипнрссылка. Не могу исправить в правке.

    Добавлено через 34 минуты

    Кстати в папке AUTORUN.inf лежит файл с названием " lpt3.This folder was created by Flash_Disinfector " который невозможно убить в ручную. Пишет не найден путь к нему. Что делать, как убить.
    Последний раз редактировалось vvvvvvvvvv1972; 13.01.2009 в 17:32. Причина: Добавлено

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Установите апдейты если возможно, затем новые логи...

  10. #9
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59
    Все обновления установлены в полном объеме. Но нод постоянно ловит и не удаляет Confisker.AE. Как избавиться от этой дряни. Вот свежие логи.
    Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Если все заплатки стоят он не будет функционировать, очистите временные папки, кеш браузера и сделайте полную проверку свежим CureIT...

  12. #11
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59
    Заплатки, обновления стоят все. Кеш, временные файлы чищу два раза в день. папка Autorun.inf переименовалась в Autorun.bak и уже не является скрытой. Удалить ничем нельзя.Нод на обоих компах по четыре раза в день кричит что найден Confisker и удалить его не могут.Все базы последние. Все сканеры каждый день качаю новые.

    Добавлено через 31 минуту

    А еще в папке system32 прямо на глазах возник файл a.exe Такое короткое и лаконичное название. И сразу же нарисовался процесс в диспетчере задач. Я его тамже сразу завершила. и при перезагрузках он так и не появился больше. Что делать с этим файлом в папке system32.?
    Последний раз редактировалось vvvvvvvvvv1972; 14.01.2009 в 23:20. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    45
    Вес репутации
    59
    Вы про меня не забыли???

  • Уважаемый(ая) vvvvvvvvvv1972, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Svchost.exe жрет память
      От d1sAA в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.02.2012, 18:17
    2. Ответов: 6
      Последнее сообщение: 22.04.2011, 08:30
    3. Караул - 6 процессов svchost и куча корзин
      От vvvvvvvvvv1972 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 14.09.2010, 15:45
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 09:56
    5. svchost жрет память
      От WhitePigeon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.10.2008, 11:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01573 seconds with 17 queries