Отформатировал винт, установил с компакт-диска ОС, прогнал на вирусы с новыми расширенными базами КАВ 5.0.165, ничего не обнаружил. При запуске любого приложения в процессах появляется подозрительные процессы с именем "svchost.exe d516", например, система подвисает до тех пор пока не завершишь этот процесс. ПАМАГИТЕ неделю мучаюсь!!!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отформатировал винт, установил с компакт-диска ОС, прогнал на вирусы с новыми расширенными базами КАВ 5.0.165, ничего не обнаружил. При запуске любого приложения в процессах появляется подозрительные процессы с именем "svchost.exe d516", например, система подвисает до тех пор пока не завершишь этот процесс. ПАМАГИТЕ неделю мучаюсь!!!
Возможно, в системе живет "зверь" с руткитом.
Необходимо:
1. Пролечить ПК с AVZ включенным противодействием руткитам и не выходя из AVZ поместить в карантин следующие файлы (описание, как искать файлы из AVZ есть в правилах):
c:\windows\temp\svchost.exe
c:\docume~1\user\locals~1\temp\svchost.exe
C:\WINDOWS\system32\drivers\mdvdrom.sys
System32\drivers\klmc.sys
2. Прислать данные файлы на анализ
В папки windows файла нет, а в local setting он появляется при открытии приложения. Как избавится от rootkit может как-нибудь отформатироваться на самом низком уровне?
В папки windows файла нет, а в local setting он появляется при открытии приложения. Как избавится от rootkit может как-нибудь отформатироваться на самом низком уровне?
Пришлите ещё любой EXE файл, при запуске которого вылезает этот левый svchost.
Скачайте Autoruns
Запустите Autoruns.exe, зайдите в опции и поставьте галки "Hide signed microsoft entries" и "Verify code signatures" нажмите обновить и сохранить лог, добавьте лог к следующему сообщению.
Отослал EXE файл и запускаемый с ним Svchost. Лог autoruns прикреплен здесь. Может кто подскажет как протестить на наличие rootkit. Я уже не верю что от этого можно избавиться (((
Отослал EXE файл и запускаемый с ним Svchost. Лог autoruns прикреплен здесь. Может кто подскажет как протестить на наличие rootkit. Я уже не верю что от этого можно избавиться (((
Главное - делать все по порядку ... руткиты AVZ ловит, и он собственно показывает на наших подозреваемых.
Итак, насколько я понимаю, в момент запуска любого исполняемого файла в папке Temp появляется файл, аналогичный присланному. Тогда необходимо
1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
2. Выполнить "Файл/Восстаноавление системы", там jnvtnbnm "Восстановление параметров запуска exe, com ...", "Удаление всех Policies", "Удаление отладчиков системных процессов" и нажать "Выполнить отмеченные операции"
3. Перезагрузиться, не выходя из AVZ и не выключая AVZ Guard
После перезагрузки посмотреть, сохранится ли этот эффект
PS: Файлы пришли, сейчас изучу и напишу о результате
И еще - попутно вопрос. Этот самый процесс "svchost.exe d516" появляется при запуске любой программы из Total Commander или при запуске любым способом (например, из проводника) ?
Последний раз редактировалось Зайцев Олег; 23.05.2006 в 09:54.
Guard отказался активироваться, пришлось заново скачать. После активации система подвисла. При попытке перезагрузки упали логические диски винта. Fdisk /mbr оживило диск С: остальная область стала неразмеченной. Скачал заново АВЗ и выполнил по инструкции улучшений не наблюдаю.
Запускать не имеет значения откуда, процесс "svchost.exe d516" появляется но с разным кодом в конце. И еще постоянно слетают установленные программы, архиватор ставлю после каждой перезагрузке. Комп постоянно ругается на то, что не найден перечень библиотек .dll и установочные файлы Винды подменены.
Присланный образец изучен - к нему приписано что-то в хвост по вирусному принципу, машинный код "зверя" в частности создает поток ... ни один из антивирей это пока не ловит и не лечит, в Лабораторию Касперского зверь уже отправлен
Поставил КАВ6, обновил базы, прогнал проверку в защищенном режиме по максимуму всех областей - ничего не найдено. То же самое и при обычной загрузки. При запуске приложения КАВ пишет "Программный модуль C:\Documents and Settings\user\Local Settings\Temp\SVCHOST.EXE 9CD6 установлен и запускается без взаимодействия с пользователем. Данное поведение характерно для троянских программ."
Упали все компы в сети, кроме одного. Отключение от сети не помогает.
Как скоро можно получить какой-либо ответ???
Присланный образец изучен - к нему приписано что-то в хвост по вирусному принципу, машинный код "зверя" в частности создает поток ... ни один из антивирей это пока не ловит и не лечит, в Лабораторию Касперского зверь уже отправлен
KAV не детектит пока этот вирус. Я отправил его аналитикам VBA и KAV, поскольку AVZ антитроян и не умеет лечить вирусы... От KAV пока тишина, да и вирус это какой-то неправильный - не хочет на тестовом ПК безобразничать
Не могу понять откуда "зверь" рождается!!! Даже БИОС сбрасывал! Поможет ли полное форматирование под ДОС с переразбиением винта??? Иногда день два машина работает, а потом все заново!
Не могу понять откуда "зверь" рождается!!! Даже БИОС сбрасывал! Поможет ли полное форматирование под ДОС с переразбиением винта??? Иногда день два машина работает, а потом все заново!
Попробуем разобраться. А пока нужно как можно скорее прислать нам еще неколько исполняемых файлов, при запуске которых проявляется такой эффект. Аналитики вирлаба VBA сейчас изучают зверя, им нужны образцы для создания и тестирования лечилки, хотя бы 2-3 разных файла
Еще момент - а в папке TEMP нет файла или папки с именем _t ?? Если есть, то нужно его прислать. А после этого почистить папку TEMP
Последний раз редактировалось Зайцев Олег; 23.05.2006 в 12:45.
ps. лечение реализовано.
pps. обновления баз пока нет.
Я изучил файл - приписывание зверя идет в начало файла и есть деструктив - убиение данных на диске. Заражает файлы в расшаренных папках ... Я на всякий случай у себя в сети решил ввести запрет на размещение EXE в расшаренных папках - от греха, для перестраховки
Последний раз редактировалось Зайцев Олег; 23.05.2006 в 13:33.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: