-
Junior Member
- Вес репутации
- 53
svchost.exe область памяти не может быть "written", hosts~5.8 мб
Здравствуйте, многоуважаемые уничтожители зловредов.
Во второй раз к Вам обращаюсь.
Итак комп, примерно через 5 минут после запуска появляется окошко svchosts.exe "ххххххххх(адресс в памяти)" область памяти не может быть "written" по нажатию ок или отмены, пропадает реакция на внешние раздражители, ни на мышку, ни на клаву не реагирует.
Полный скан kav8 и свежим cureit ничего не дал.
Так-же в ходе беглого осмотра был обнаружен что размер файла хостс чуть более 5мб, (неудобочитаемый), при скане Касперским вирусов не находит.
Логи прилагаются.
P.S. В карантине что-то есть копия hosts сохранена, залью по первому Вашему требованию, если таковое будет.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0019931.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ylzmpnzm.sys','');
DeleteService('ylzmpnzm');
QuarantineFile('C:\WINDOWS\System32\Drivers\webvfygj.sys','');
DeleteService('webvfygj');
QuarantineFile('C:\WINDOWS\System32\Drivers\veockjky.sys','');
DeleteService('veockjky');
QuarantineFile('C:\WINDOWS\System32\Drivers\tlmeaxlc.sys','');
DeleteService('tlmeaxlc');
QuarantineFile('C:\WINDOWS\System32\Drivers\qrrmxqvc.sys','');
DeleteService('qrrmxqvc');
QuarantineFile('C:\WINDOWS\System32\Drivers\pazzydpl.sys','');
DeleteService('pazzydpl');
QuarantineFile('C:\WINDOWS\System32\Drivers\oxrshiag.sys','');
DeleteService('oxrshiag');
QuarantineFile('C:\DOCUME~1\4F37~1\LOCALS~1\Temp\nenum13E.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\mqsfdrkl.sys','');
DeleteService('mqsfdrkl');
QuarantineFile('C:\WINDOWS\System32\Drivers\lihzachy.sys','');
DeleteService('lihzachy');
QuarantineFile('C:\WINDOWS\System32\Drivers\ldnqlaly.sys','');
DeleteService('ldnqlaly');
QuarantineFile('C:\WINDOWS\System32\Drivers\kxvbsyeg.sys','');
DeleteService('kxvbsyeg');
QuarantineFile('C:\WINDOWS\System32\Drivers\kvkwnkbw.sys','');
DeleteService('kvkwnkbw');
QuarantineFile('C:\WINDOWS\System32\Drivers\kiljjcyb.sys','');
DeleteService('kiljjcyb');
QuarantineFile('C:\WINDOWS\System32\Drivers\izedousy.sys','');
DeleteService('izedousy');
QuarantineFile('C:\WINDOWS\System32\Drivers\gqfwwfwq.sys','');
DeleteService('gqfwwfwq');
QuarantineFile('C:\WINDOWS\System32\Drivers\ffhlfzov.sys','');
DeleteService('ffhlfzov');
QuarantineFile('C:\WINDOWS\System32\Drivers\eqkopvzk.sys','');
DeleteService('eqkopvzk');
QuarantineFile('C:\WINDOWS\System32\Drivers\czascinx.sys','');
DeleteService('czascinx');
DeleteFile('C:\WINDOWS\System32\Drivers\czascinx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\eqkopvzk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ffhlfzov.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gqfwwfwq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\izedousy.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kiljjcyb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kvkwnkbw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kxvbsyeg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ldnqlaly.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lihzachy.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mqsfdrkl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\oxrshiag.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pazzydpl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qrrmxqvc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tlmeaxlc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\veockjky.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\webvfygj.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ylzmpnzm.sys');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0019931.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Компьютер недоступен до сегодняшнего вечера, отпишусь примерно после 21:00 по MSK
Карантин загрузил
-
Junior Member
- Вес репутации
- 53
Готово, новые логи и свежий карантин прилагаются.
-
>> Заблокированы настройки системы System Restore
Это Ваших рук дело или проделки вирусов?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0051021.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{FE26E435-55A7-414A-89C2-A34E7CDA1EC2}\RP13\A0051021.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Это Ваших рук дело или проделки вирусов?
Не моих точно, да и маловероятно что владелец компа до такого мог додуматься...
Логи приложил, карантин через секунду будет согласно правилам приложения 3
Извините за прошлый, совсем замотался...
Последний раз редактировалось alidml; 18.02.2010 в 21:40.
Причина: Карантин залил
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Готово, извините за задержку...
-
В логе чисто, проблемы решены?
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендую обновить, + установить последние обновления на ОС.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
В логе чисто, проблемы решены?
Рекомендую обновить, + установить последние обновления на ОС.
С проблемой не ясно, владелеца компа говорит, что после последнего скрипта ошибка svchost появлялась но с какимто другим текстом, нажимать ок\отмена она не стала, а просто вырубила комп...
Завтра расскажет как дела обстоят.
Про обновления знаю, но немного проблематично, обновлю при первой возможности.
-
Сообщение от
alidml
С проблемой не ясно, владелеца компа говорит, что после последнего скрипта ошибка svchost появлялась но с какимто другим текстом, нажимать ок\отмена она не стала, а просто вырубила комп...
Нужен комплект логов, +лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Нужен комплект логов, +лог MBAM
Хорошо, будет завтра
-
Junior Member
- Вес репутации
- 53
Проблема не решена, тот же svchost также вешает комп, даёт перезагрузится через раз, приходиться resetом
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Trojan.Agent) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
DeleteService('ICF');
DeleteService('nenum13E');
QuarantineFile('C:\DOCUME~1\4F37~1\LOCALS~1\Temp\nenum13E.sys','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
DeleteFile('C:\DOCUME~1\4F37~1\LOCALS~1\Temp\nenum13E.sys');
BC_ImportAll;
BC_DeleteSvc('ICF');
ExecuteSysClean;
Executerepair(7);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 54
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{fe26e435-55a7-414a-89c2-a34e7cda1ec2}\rp13\a0019931.exe:exe.exe:$data - Trojan.Win32.Agent.dlfu ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABX )
- c:\system volume information\_restore{fe26e435-55a7-414a-89c2-a34e7cda1ec2}\rp13\a0051021.exe:exe.exe:$data - Trojan.Win32.Agent.dlfu ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABX )
- c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.dlfu ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABX )
-