Проблема - другой провайдер - svchost, lsass?

[antikashey]

Здравствуйте!
При переходе к другому провайдеру начались массовые вирусные проблемы. По-видимому, они связаны с svchost.exe (диспетчер задач показывает их 6 штук в процессах) и lsass.exe. По крайней мере, они стали часто давать ошибки при работе в моей системе Avira и Outpost.
Буду очень благодарен за помощь, мне самому никак не разобраться ..

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('j:\program files\google\googletoolbar3.dll','');
 QuarantineFile('J:\WINDOWS\system32\ntos.exe','');
 DeleteFile('J:\WINDOWS\system32\ntos.exe');
 DeleteFile('J:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[antikashey]

Спасибо, V Bond.
Скрипт выполнен.

Приложение 3
AVZ -> Файл -> Просмотр Карантина
но папка 2009-04-14 пуста .. (может чего не понимаю?)

Еще раз выполнил диагностику с помощью AVZ и HiJackThis
прикрепляю логи

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - j:\program files\google\googletoolbar3.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - j:\program files\google\googletoolbar3.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('J:\WINDOWS\system\smsc.exe');
 DeleteFile('J:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('ids0018a');
 BC_DeleteSvc('ids00180');
 BC_DeleteSvc('ids0015d');
 BC_DeleteSvc('ids0014f');
 BC_DeleteSvc('ids00118');
 BC_DeleteSvc('ids0005c');
 BC_DeleteSvc('ids00026');
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[antikashey]

Спасибо, Bratez.

Пофиксил и выполнил скрипт AVZ, но через некоторое время файл smsc.exe вновь появился в папке system.
Кроме того, в корневом каталоге создался файл ARK1.tmp. При удалении его антивирусом появлялся ARK2.tmp, а после работы AVZ в режиме лечения/информации он переименовывался в ARK2.bak, затем через 5-10 мин. smsc.exe появлялся вновь.

Еще раз выполнил скрипт и диагностику AVZ, после перезагрузки вроде бы проблема исчезла (нет ни ARK, ни smsc). Однако при диагностике HiJackThis в его логе появилась строчка
O4 - HKLM\..\Run: [WSSVC] J:\WINDOWS\system\smsc.exe

Прикрепляю логи.

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('j:\windows\system\smsc.exe');
 DeleteFile('J:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

качайте сп 3
повторите логи ...

[antikashey]

качайте сп 3

где его взять?

[V_Bond]

естественно ...
http://www.microsoft.com/downloads/d...5-6bb4f56f5110
+ все остальные обновления

[antikashey]

естественно ...
http://www.microsoft.com/downloads/d...5-6bb4f56f5110
+ все остальные обновления

С установкой обновлений проблема.
svchost начал запрашивать соединения по различным адресам, но сделать его доверенным для Аутпоста не могу, по понятным причинам - похоже, именно так и попали зловреды на комп. Несколько дней назад, намучавшись с проверкой куда он запрашивал соединения, сделал его доверенным, и тут началось .. Сейчас, пока грузится SP3, приходится сидеть и поминутно кликать "Разрешить однократно" для его соединений с LIMELIGHT NETWORKS и MICROSOFT (без этого не грузится).
А без SP3 никак нельзя?

[antikashey]

SP3 установил, скрипт выполнил.

Прикрепляю логи.

Кстати, почти каждый раз (в том числе последний) при выполнении AVZ скрипта лечения+информации появляется ошибка опять же svchost-а (когда скрипт только информации - ошибки нет), причем в половине случаев система зависает и приходится перезагружаться и начинать заново ..

[Bratez]

при выполнении AVZ скрипта лечения+информации появляется ошибка

Это из-за Аутпоста, его надо выгружать перед сканированием.

В логах ничего подозрительного не видно.

[antikashey]

Это из-за Аутпоста, его надо выгружать перед сканированием.

В логах ничего подозрительного не видно.

Аутпост и Авиру отключал всегда для выполнения скрипта лечения+информации, как и написано в правилах ..

Наличие шести svchost-ов в процессах - это нормально?

[pig]

Нормально. А вот Outpost полностью выключить - это на самом деле проблема. Он только делает вид, что отключается.

[antikashey]

Нормально. А вот Outpost полностью выключить - это на самом деле проблема. Он только делает вид, что отключается.

То-то смотрю AVZ ругается на его драйвер afw.sys ..

Теперь можно ли сделать svchost доверенным для Аутпоста?

[antikashey]

Хмм .. проблема повторилась. Тот же самый троян TR/Crypt.XPack.Gen (Avira) или Win32.HLLW.Shadow.based (Dr.Web)
Обнаружился во временных папках интернета dvfoxsbv[1].bmp (удален Авирой) и в system32 awdzdq.dll (его еще в прошлый раз хорошо запомнил, ибо удаляется Dr.WebCureIt!-ом только в безопасном режиме)

[Bratez]

В логах чисто.

[antikashey]

Попадает через дыру в IE?