Показано с 1 по 14 из 14.

Подозрительный сервис yztgq (заявка № 52699)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    9
    Вес репутации
    31

    Thumbs up Подозрительный сервис yztgq

    Здравствуйте!
    Iceword находит в системе сервис yztgq
    В логах AVZ тоже есть подозрения на его маскировку
    В реестре нашел ключ netsvcs в разделе
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    с параметром:
    6to4
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    DHCP
    ERSvc
    EventSystem
    FastUserSwitchingCompatibility
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    LanmanWorkstation
    Messenger
    Netman
    Nla
    Ntmssvc
    NWCWorkstation
    Nwsapagent
    Rasauto
    Rasman
    Remoteaccess
    Schedule
    Seclogon
    SENS
    Sharedaccess
    SRService
    Tapisrv
    Themes
    TrkWks
    W32Time
    WZCSVC
    Wmi
    WmdmPmSp
    winmgmt
    wscsvc
    xmlprov
    napagent
    hkmsvc
    BITS
    wuauserv
    ShellHWDetection
    helpsvc
    WmdmPmSN
    yztgq

    Кроме того AVZ находит перехватчика процесса который постоянно меняет имя
    spcs.sys
    spcq.sys
    spll.sys
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    9
    Вес репутации
    31
    При запуске Gmer пишет что есть подозрение на руткит

    Появляется несколько строчек с указанием перехватчика, которого находит AVZ

    SSDT sppw.sys ZwEnumerateKey...

    а также красным выделена строка

    Service C:\Windows\System32\Svchost.exe (***hidden***) [AUTO] yztgq


    При запуске сканирование компьютер виснет когда доходит до файла
    C:\Windows\System32\shell32.dll
    (пробовал запускать сканирование 5 раз)

    Вот лог если не запускать скан Gmer
    Вложения Вложения
    • Тип файла: log gmer.log (843 байт, 10 просмотров)
    Последний раз редактировалось Rene-gad; 22.08.2009 в 12:39.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скан нужно запускать ...

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    9
    Вес репутации
    31
    Пробовал запустить скан еще несколько раз - результат такой же комп намертво виснет.
    Может еще что-нибудь попробовать?!

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    В безопасном режиме гмером просканировать не пробовали?
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service yztgq
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yztgq"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится
    Сделать новый лог gmer

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    9
    Вес репутации
    31
    Удалось запустить сканирование Gmerом если снять галочку c параметра Sections
    Вот лог
    Вложения Вложения
    • Тип файла: log gmer1.log (25.7 Кб, 3 просмотров)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    Хорошо.

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe:
    Код:
    gmer.exe -del service yztgq
    gmer.exe -del file "C:\WINDOWS\system32\tkvuip.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yztgq"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yztgq"
    gmer.exe -reboot
    И запустите cleanup.bat. Компьютер перезагрузится.

    Сделайте новый лог гмер.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    9
    Вес репутации
    31
    Файл запустил
    Вот новый лог
    Похоже сервис удалили.
    Но меня еще волнует файл spii.sys который постоянно меняет свое имя
    Вложения Вложения
    • Тип файла: log gmer2.log (20.6 Кб, 2 просмотров)

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    В логе чисто.
    Но меня еще волнует файл spii.sys который постоянно меняет свое имя
    Это эмулятор дисков.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    9
    Вес репутации
    31
    Ок)
    Раз это эмулятор дисков то пусть будет
    (интересно зачем ему имя свое менять при перезагрузке?!)

    Огромное спасибо!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от qwelp Посмотреть сообщение
    интересно зачем ему имя свое менять при перезагрузке?!
    Чтобы любопытные пользователи могли задать этот вопрос

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    (интересно зачем ему имя свое менять при перезагрузке?!)
    Насколько я понимаю, это сделано для того, чтобы не быть замеченым производителями игр, т.к. при эмуляции образа и обхода защиты игры с помощью Daemon Tools/Alcohol производители игр могут заблокировать их запуск/выпасть в БСОД. А так он неуловим
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  • Уважаемый(ая) qwelp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительный файл
      От zubr57 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.07.2010, 11:56
    2. Подозрительный сервис
      От jeykey в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 09:02
    3. Подозрительный файл
      От Visitor в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:51
    4. Подозрительный sp*.sys
      От Sanc4eZ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.07.2008, 10:24
    5. Лог AVZ подозрительный
      От starbreaker в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.05.2008, 19:55

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00191 seconds with 17 queries