Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Слетает ОС подозрительные svchost (заявка № 5548)

  1. #1
    lansod
    Guest

    Слетает ОС подозрительные svchost

    Отформатировал винт, установил с компакт-диска ОС, прогнал на вирусы с новыми расширенными базами КАВ 5.0.165, ничего не обнаружил. При запуске любого приложения в процессах появляется подозрительные процессы с именем "svchost.exe d516", например, система подвисает до тех пор пока не завершишь этот процесс. ПАМАГИТЕ неделю мучаюсь!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от lansod
    Отформатировал винт, установил с компакт-диска ОС, прогнал на вирусы с новыми расширенными базами КАВ 5.0.165, ничего не обнаружил. При запуске любого приложения в процессах появляется подозрительные процессы с именем "svchost.exe d516", например, система подвисает до тех пор пока не завершишь этот процесс. ПАМАГИТЕ неделю мучаюсь!!!
    Возможно, в системе живет "зверь" с руткитом.
    Необходимо:
    1. Пролечить ПК с AVZ включенным противодействием руткитам и не выходя из AVZ поместить в карантин следующие файлы (описание, как искать файлы из AVZ есть в правилах):
    c:\windows\temp\svchost.exe
    c:\docume~1\user\locals~1\temp\svchost.exe
    C:\WINDOWS\system32\drivers\mdvdrom.sys
    System32\drivers\klmc.sys
    2. Прислать данные файлы на анализ

  4. #3
    lansod
    Guest
    Спасибо за оперативный ответ! Выслал файлы! С нетерпением жду ответа!!!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    если есть файлы
    D:\FIREWALL\DDK\BIN\NMAKE.EXE
    D:\FIREWALL\DDK\BIN\LINK.EXE
    d:\program files\mew9\mew32.exe
    то пришлите посмотреть.

    файлы
    c:\windows\temp\svchost.exe 3d54
    C:\Documents and Settings\user\Local Settings\Temp\SVCHOST.EXE D8E7
    нужно удалить.

  6. #5
    lansod
    Guest
    В папки windows файла нет, а в local setting он появляется при открытии приложения. Как избавится от rootkit может как-нибудь отформатироваться на самом низком уровне?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от lansod
    В папки windows файла нет, а в local setting он появляется при открытии приложения. Как избавится от rootkit может как-нибудь отформатироваться на самом низком уровне?
    Пришлите ещё любой EXE файл, при запуске которого вылезает этот левый svchost.
    Скачайте Autoruns
    Запустите Autoruns.exe, зайдите в опции и поставьте галки "Hide signed microsoft entries" и "Verify code signatures" нажмите обновить и сохранить лог, добавьте лог к следующему сообщению.

  8. #7
    lansod
    Guest
    Отослал EXE файл и запускаемый с ним Svchost. Лог autoruns прикреплен здесь. Может кто подскажет как протестить на наличие rootkit. Я уже не верю что от этого можно избавиться (((
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от lansod
    Отослал EXE файл и запускаемый с ним Svchost. Лог autoruns прикреплен здесь. Может кто подскажет как протестить на наличие rootkit. Я уже не верю что от этого можно избавиться (((
    Главное - делать все по порядку ... руткиты AVZ ловит, и он собственно показывает на наших подозреваемых.
    Итак, насколько я понимаю, в момент запуска любого исполняемого файла в папке Temp появляется файл, аналогичный присланному. Тогда необходимо
    1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
    2. Выполнить "Файл/Восстаноавление системы", там jnvtnbnm "Восстановление параметров запуска exe, com ...", "Удаление всех Policies", "Удаление отладчиков системных процессов" и нажать "Выполнить отмеченные операции"
    3. Перезагрузиться, не выходя из AVZ и не выключая AVZ Guard
    После перезагрузки посмотреть, сохранится ли этот эффект

    PS: Файлы пришли, сейчас изучу и напишу о результате
    И еще - попутно вопрос. Этот самый процесс "svchost.exe d516" появляется при запуске любой программы из Total Commander или при запуске любым способом (например, из проводника) ?
    Последний раз редактировалось Зайцев Олег; 23.05.2006 в 09:54.

  10. #9
    lansod
    Guest
    Guard отказался активироваться, пришлось заново скачать. После активации система подвисла. При попытке перезагрузки упали логические диски винта. Fdisk /mbr оживило диск С: остальная область стала неразмеченной. Скачал заново АВЗ и выполнил по инструкции улучшений не наблюдаю.
    Запускать не имеет значения откуда, процесс "svchost.exe d516" появляется но с разным кодом в конце. И еще постоянно слетают установленные программы, архиватор ставлю после каждой перезагрузке. Комп постоянно ругается на то, что не найден перечень библиотек .dll и установочные файлы Винды подменены.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Присланный образец изучен - к нему приписано что-то в хвост по вирусному принципу, машинный код "зверя" в частности создает поток ... ни один из антивирей это пока не ловит и не лечит, в Лабораторию Касперского зверь уже отправлен

  12. #11
    lansod
    Guest
    Поставил КАВ6, обновил базы, прогнал проверку в защищенном режиме по максимуму всех областей - ничего не найдено. То же самое и при обычной загрузки. При запуске приложения КАВ пишет "Программный модуль C:\Documents and Settings\user\Local Settings\Temp\SVCHOST.EXE 9CD6 установлен и запускается без взаимодействия с пользователем. Данное поведение характерно для троянских программ."
    Упали все компы в сети, кроме одного. Отключение от сети не помогает.
    Как скоро можно получить какой-либо ответ???

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Зайцев Олег
    Присланный образец изучен - к нему приписано что-то в хвост по вирусному принципу, машинный код "зверя" в частности создает поток ... ни один из антивирей это пока не ловит и не лечит, в Лабораторию Касперского зверь уже отправлен
    в vms drweb тоже отправлено, но пока ответа нет.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    KAV не детектит пока этот вирус. Я отправил его аналитикам VBA и KAV, поскольку AVZ антитроян и не умеет лечить вирусы... От KAV пока тишина, да и вирус это какой-то неправильный - не хочет на тестовом ПК безобразничать

  15. #14
    lansod
    Guest
    Не могу понять откуда "зверь" рождается!!! Даже БИОС сбрасывал! Поможет ли полное форматирование под ДОС с переразбиением винта??? Иногда день два машина работает, а потом все заново!

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от lansod
    Не могу понять откуда "зверь" рождается!!! Даже БИОС сбрасывал! Поможет ли полное форматирование под ДОС с переразбиением винта??? Иногда день два машина работает, а потом все заново!
    Попробуем разобраться. А пока нужно как можно скорее прислать нам еще неколько исполняемых файлов, при запуске которых проявляется такой эффект. Аналитики вирлаба VBA сейчас изучают зверя, им нужны образцы для создания и тестирования лечилки, хотя бы 2-3 разных файла
    Еще момент - а в папке TEMP нет файла или папки с именем _t ?? Если есть, то нужно его прислать. А после этого почистить папку TEMP
    Последний раз редактировалось Зайцев Олег; 23.05.2006 в 12:45.

  17. #16
    lansod
    Guest
    Отправил. В папке temp файла с именем _t нет, все файлы оттуда удаляются кроме запущенных svchost
    Последний раз редактировалось lansod; 23.05.2006 в 13:26.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    vms drweb ответил - Вирус: Win32.HLLP.Karud

    ps. лечение реализовано.
    pps. обновления баз пока нет.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Shu_b
    vms drweb ответил - Вирус: Win32.HLLP.Karud

    ps. лечение реализовано.
    pps. обновления баз пока нет.
    Я изучил файл - приписывание зверя идет в начало файла и есть деструктив - убиение данных на диске. Заражает файлы в расшаренных папках ... Я на всякий случай у себя в сети решил ввести запрет на размещение EXE в расшаренных папках - от греха, для перестраховки
    Последний раз редактировалось Зайцев Олег; 23.05.2006 в 13:33.

  20. #19
    lansod
    Guest
    Что д-е-л-а-т-ь то???

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от lansod
    Что д-е-л-а-т-ь то???
    Теперь только ждать пока вендоры выпустят обновления баз...
    Но и после того, не надо расчитывать что антивирус всё вылечит.... возможны варианты...

  • Уважаемый(ая) lansod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. слетает антивирусник
      От l_sergey в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.09.2011, 20:24
    2. Проводник слетает!
      От Brian O'connor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.01.2011, 07:05
    3. Слетает DNS-сервер
      От LexUser в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.08.2009, 12:04
    4. Слетает сеть
      От zidanchik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.05.2009, 23:50
    5. Слетает NOD
      От Slaveg в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00476 seconds with 20 queries