-
Junior Member
- Вес репутации
- 52
Создаются подозрительные файлы, тормоза системы.
Здравствуйте.
При каждой загрузке системы в трее появляется уведомление
Через некоторое время DrWeb какую-то гадость блокирует.
Вручную удалял файлы, определяемые AVZ как подозрительные. Но при перезагрузке они вновь появляются. Оногда появляется окно shutdown с уведомлением о перезагрузке компа в результате аварийного завершения svchost.exe.
Р.S Система без SP3 и критических обновлений. Их поставлю сразу, как избавлюсь от зловреда.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sqlserv.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi24.ocx','');
QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
DeleteService('acpi24Drv');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\WINDOWS\system32\acpi24.dll');
DeleteFile('C:\WINDOWS\system32\acpi24.ocx');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Проверьте наличие файла sfcfiles.dll в папке system32 и при его отсутствии восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Файлы c:\wuauserv.log и c:\BITS.log прикрепите к сообщению
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Проблема с неопознаным оборудованием решилась - в system32 не было файла sfcfiles.dll
После экспорта веток wuauserv и BITS оказалось, что они пустые. В логах была только строка REGEDIT4.
Импортировал со здоровой машины - проблема исчезла.
Выполнил скрипт в АВЗ. После чего смог разблокировать SafeMode.
Затем запустил CureIt. Тот изничтожил зоопарк троянов.
После прошелся еще mbam со свежими базами. Тот, в свою очередь, нашел еще malware и почистил. Но после прохода mbam опять появились строчки в логах AVZ
Код:
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Прошелся еще GMER - в логах чисто.
P.S. Посмотрите на мою самостоятельную попытку составления скрипта
Код:
begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
// From HiJackThis
QuarantineFile('C:\WINDOWS\system32\iexplorer.exe','');
DeleteFile('C:\WINDOWS\system32\iexplorer.exe');
QuarantineFile('C:\WINDOWS\system32\cgwggg.exe','');
DeleteFile('C:\WINDOWS\system32\cgwggg.exe');
StopService('360Tay');
QuarantineFile('C:\WINDOWS\system32\360tay.exe','');
DeleteService('360Tay', true);
StopService('FireFox2');
QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
DeleteService('FireFox2', true);
StopService('gtey');
QuarantineFile('C:\WINDOWS\system32\cgwggg.exe','');
DeleteService('gtey', true);
// From AVZ
QuarantineFile('c:\windows\system32\ebkhw.biz','');
DeleteFile('c:\windows\system32\ebkhw.biz');
StopService('sptd');
SetServiceStart('sptd', 4);
DeleteService('sptd');
DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
StopService('spze.sys');
SetServiceStart('spze.sys', 4);
DeleteService('spze.sys');
DeleteFile('spze.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.
-
Практически правильный. Но логи RSIT показывают наличие у Вас еще больше гадости
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Попутно еще вопрос...
Можно ли при текущем состоянии дел поставить SP3, IE8 и актуальные критические апдейты или только после полного изничтожения паразитов?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Поставил SP3, IE8 и критические апдейты по июль включительно.
Посмотрите, пожалуйста, на логи.
-
c:\windows\System32\drivers\beep.sys восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\hgpasclib.dll
c:\windows\system32\wayige.exe
c:\windows\system32\gchk.exe
c:\windows\system32\wayic.dll
c:\windows\system32\wayi.exe
c:\windows\system32\AntiVC.dll
c:\windows\system32\gametower.exe
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"SopSrv"=-
"HglSrv"=-
"HgpSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
thyrex
Как только выложил последние логи продолжил собственное расследование, так как проблема с нестабильно работающим интернет-соединением не исчезла.
Лишние записи в списке служб, запускаемых svchost обнаружил и удалил. Проблема исчезла.
После вашего последнего ответа отправил хозяйке компьютера список файлов из system32 которые рекомендовано удалить. Она все удалила. Высланый мной beep.sys подложила.
С повторным логом ComboFix заминка - девочка не обладает достаточным опытом, а у меня пока нет возможности сделать это самому.
Думаю тему можно закрывать, так как по словам хозяйки все работает хорошо и ее ничего более не беспокоит