-
Junior Member
- Вес репутации
- 54
Проблема в svchost. Не позволяет запустить AVZ и CrueIT.
Доброго времени суток, на дню столкнулся с проблемой того, что компьютер очень тормозит. После перезагрузки не обнаружил сеть, не запустилась служба обеспечения сети. Каспер обругнулся на svchost и убил процесс, после чего пошел отчет до перезегрузки. Убрал командой shutdown -a. После попытался проверить DrWebом не помогло, точнее он не запустился даже, как и AVZ. Каспер ничего не находит. Еще одна характерная особенность того, что в безопасном режиме этот процесс чъедает огромную долю системных рессурсов. В частности растет объем использования оперативной памяти, терпение лопнуло на 1,5 ГБ. Все проверки пытался провести как в безопасном так и в обычном режиме от имени локального админа.
P.S. Прошу прощение за отсутствие логов, так как физически не могу их произвести, а винду ой как не хочется переустанавливать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день, такой avz попробуйте использовать
-
-
Junior Member
- Вес репутации
- 54
Доброго времени суток. Ну вроде бы логи сделал, только базы обновить не дал. И вот еще что, при подключении сети сразу выскакивает ошибка svchost и generic host Win32 processes
-
В этой версии базы обновлять не надо, да и не получится.
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe nynw.wmo mynleeq
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\51f68a14.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\LENAR~1.KAZ\LOCALS~1\Temp\eqhbhxc.old','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\romwln.dll','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\WINDOWS\system32\51f68a14.exe','');
QuarantineFile('C:\WINDOWS\system32\nynw.wmo','');
DeleteFile('C:\WINDOWS\system32\nynw.wmo');
DeleteFile('C:\WINDOWS\system32\51f68a14.exe');
DeleteFile('C:\DOCUME~1\LENAR~1.KAZ\LOCALS~1\Temp\eqhbhxc.old');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Попробуйте сделать новые логи по правилам обычным AVZ(virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
п.с. после окончания лечения поменяйте все пароли.
-
-
Junior Member
- Вес репутации
- 54
карантин закачал, простой AVZ запустился и даже обновился, что уже радует. Прежде чем сделать скрипты проверил DrWebом, не судите сторого если этого делать не надо было но нашел вирус который отправил вам в карантине drwat.exe новые логи прилагаю.
-
Сообщение от
Lenar
простой AVZ запустился и даже обновился,
Не похоже
Внимание !!! База поcледний раз обновлялась
24.03.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Пофиксите в Hijack
Код:
O20 - AppInit_DLLs: winmm.dll
Один из вирусов занимался кражей паролей. Поэтому рекомендуется сменить все пароли как можно скорее.
Сделайте новые логи с обновленными базами
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Приношу извинение за ту оплошность, что получилась с базами, в этот раз все проверил. По поводу паролей, работаю в достаточно крупной организации админом, менять все пароли, или же только те что на моем ПК и использовались в инете?! Новые логи прилагаю. И еще вопрос, знаю как минимум еще пару компов, и пару серверов с такими же проблемами. Проблема возникла после DDoS атаки, для них для каждого открывать новую тему или если система одна можно пытаться использовать скрипты по аналогии?!
-
Радмином пользуетесь?
Сообщение от
Lenar
или же только те что на моем ПК и использовались в инете?!
Все пароли, которые использовались на этом компьютере, в том числе и для работы в Интернет.
Сообщение от
Lenar
пару серверов с такими же проблемами
Для каждого компьютера отдельная тема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
Радмином пользуетесь?
да, и не только радмином. Так как расположение офисов раскидано по разным населенным пунктам.
Сообщение от
thyrex
Для каждого компьютера отдельная тема
Ок, значит скоро займусь и этим.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\lenar~1.kaz\locals~1\temp\eqhbhxc.old - Trojan-PSW.Win32.Kates.fc ( AVAST4: Win32:Kates-AV [Trj] )
- c:\windows\system32\drwat32.exe - Backdoor.Win32.Agent.arls ( DrWEB: Trojan.PWS.Ibank.32, BitDefender: Rootkit.34638, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\romwln.dll - not-a-virus:RemoteAdmin.Win32.ROM.n
- c:\windows\system32\51f68a14.exe - Trojan-Dropper.Win32.Agent.bvlw ( DrWEB: Trojan.MulDrop.64715, BitDefender: Trojan.Generic.3640570, AVAST4: Win32:Agent-AKAJ [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-