-
Junior Member
- Вес репутации
- 49
4 неизвестных процесса
Поймал вирус, произошла инъекция ява скрипта через сайт,все что можно было удалить удалил.Проверил касперским и курелтом(в безопасном режиме а так же с live cd) а так же авз, зараза еще осталась.
В модулях пространсва ядра обнаружены сл. процессы:
1)spwb.sys - автогенерируемый процесс,местоположение неизвестно,при загрузке системы имя генерируется автоматом, начальная буква всегда 'S'
2)ah4yt3g0.SYS -автогенерируемый процесс, (C:\\windows\system32\drivers\ah4yt3g0.SYS)при загрузке системы имя генерируется автоматом, начальная буква всегда 'a',файл удаляется и при новой загрузке системы создается новый
3)dump_diskdump.sys(C:\\windows\system32\drivers\d ump_diskdump.sys)
4)dump_nvgts.sys.sys(C:\\windows\system32\drivers\ dump_nvgts.sys.sys)
Все эти процессы невозможно скопировать в карантин - ошибка чтения.
Примерно раз в 15 мин система начинается сильно тормозить на протяжении 30 сек, будто мой жесткий сканируют, и процессов загружен на 100, все сильно тормозит.Папка с карантином весит 20мб, и там нет сис процессах, тк их невозможно было скопировать в карантин ( Прошу помощи, заранее благодарен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Расписанные Вами файлы существуют только в памяти и они нормальные.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\QAHTVXYXO.exe','');
QuarantineFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\HKKQFIP.exe','');
DeleteService('QAHTVXYXO');
DeleteService('HKKQFIP');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\HKKQFIP.exe');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\QAHTVXYXO.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
не могу уничтожить вирус
Поймал вирус, произошла инъекция ява скрипта через сайт,все что можно было удалить удалил.Проверил касперским и курелтом(в безопасном режиме а так же с live cd) а так же авз, зараза еще осталась.
В модулях пространсва ядра обнаружены сл. процессы:
1)spwb.sys - автогенерируемый процесс,местоположение неизвестно,при загрузке системы имя генерируется автоматом, начальная буква всегда 'S'
2)ah4yt3g0.SYS -автогенерируемый процесс, (C:\\windows\system32\drivers\ah4yt3g0.SYS)при загрузке системы имя генерируется автоматом, начальная буква всегда 'a',файл удаляется и при новой загрузке системы создается новый
3)dump_diskdump.sys(C:\\windows\system32\drivers\d ump_diskdump.sys)
4)dump_nvgts.sys.sys(C:\\windows\system32\drivers\ dump_nvgts.sys.sys)
Все эти процессы невозможно скопировать в карантин - ошибка чтения.
Примерно раз в 15 мин система начинается сильно тормозить на протяжении 30 сек, будто мой жесткий сканируют, и процессов загружен на 100, все сильно тормозит.Папка с карантином весит 20мб, вложил туда файлы только некоторые, хотя там нет файлов которые были подозрительными в сис процессах, тк их невозможно было скопировать в карантин ( Прошу помощи, заранее благодарен
-
1)spwb.sys - автогенерируемый процесс,местоположение неизвестно,при загрузке системы имя генерируется автоматом, начальная буква всегда 'S'
От эмулятора дисков.
2)ah4yt3g0.SYS -автогенерируемый процесс, (C:\\windows\system32\drivers\ah4yt3g0.SYS)при загрузке системы имя генерируется автоматом, начальная буква всегда 'a',файл удаляется и при новой загрузке системы создается новый
Аналогично первому.
3)dump_diskdump.sys(C:\\windows\system32\drivers\d ump_diskdump.sys)
4)dump_nvgts.sys.sys(C:\\windows\system32\drivers\ dump_nvgts.sys.sys)
Все эти процессы невозможно скопировать в карантин - ошибка чтения.
Нормальные файлы.
Примерно раз в 15 мин система начинается сильно тормозить на протяжении 30 сек, будто мой жесткий сканируют, и процессов загружен на 100, все сильно тормозит.
Это скорее всего от касперского.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('QAHTVXYXO');
DeleteService('HKKQFIP');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\QAHTVXYXO.exe');
DeleteFile('C:\DOCUME~1\FEO\LOCALS~1\Temp\HKKQFIP.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
thyrex
Расписанные Вами файлы существуют только в памяти и они нормальные.
Хм, неужели просесс 1) и 2) нормальные, они же не имеют стандарного имени и генерятся сл образом
Выслал карантин 101126_155321_virus_4cefadc191350.zip
и прикрепил новые логи
Последний раз редактировалось Shu_b; 26.11.2010 в 16:10.
-
Junior Member
- Вес репутации
- 49
удалите пожалуйста эту тему, я случайно создал ее второй раз, спасибо что подробно описали процессы.
[moderated: объединены]
Последний раз редактировалось Shu_b; 26.11.2010 в 16:12.
-
Сообщение от
fe085
они же не имеют стандарного имени и генерятся сл образом
Именно так. Это эмуляторы
В логах придраться не к чему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
