Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   svchost.exe, перезагрузка компьютера (без счетчика времени), administrator.exe... (http://forum.oszone.net/showthread.php?t=125303)

filthy 07-12-2008 21:03 974900
svchost.exe, перезагрузка компьютера (без счетчика времени), administrator.exe...
 
Вложений: 1
Сначала появилась проблема с влетом svchost.exe. Ветку в форуме прочитал. Заплаток поставил. ОБнаружил svchost.exe вне егородной дерриктории. Удалил. Так же был найден файлы a.exe. Проблема решилась.

Прошла неделя. Внезапная перезагрузка и понеслось. В процессах неизестные administrator.exe, head-22-10-02, лишные svchost c 1 thread, запущенные от имени пользователя ctfmon, services (с уже имеющимися от system). В этот раз svchost.exe и administrator.exe находились уже в document and setting/administrator.

Поведение системы: при загрузке примерно минута есть на какие либо дейсвтия, потом - 100% CPU и через какое-то время произвольный ребут.

В итоге поотключав что успел из msconfiga получилось загрузиться в safe mode, там все поубивать и доотключать и таки попасть сюда (смайл).

Тема "Вам нужна помощь" - прочитана. Проследованна по пунктам.

DVDshnik 08-12-2008 07:29 975141
Попробуйте загрузиться с любого Live-CD диска и поудаляйте левые ехе-шники. Также вычистите все каталоги временных файлов, корзину и удалите все точки восстановления.

Pili 08-12-2008 10:10 975228
filthy, папку c:\windows\temp\ очистите, удалите временные файлы с помощью ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Winbh51', 4);
 SetServiceStart('Schedule', 4);
 SetServiceStart('LPTRDCsrv', 4);
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('C:\xoblite\Brutus FTP Cracker.exe','');
 QuarantineFile('C:\Documents and Settings\FTP Cracker.exe','');
 QuarantineFile('c:\windows\temp\init.exe','');
 QuarantineFile('C:\WINDOWS\system32\rem.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\vadmulti.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
 QuarantineFile('Schedule.sys','');
 QuarantineFile('C:\WINDOWS\ctfmon.exe','');
 QuarantineFile('C:\Program Files\DynDNS Updater\DynUpSvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winbh51.sys','');
 QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');
 QuarantineFile('C:\WINDOWS\Temp\6vLR2ZLP.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\blackbox\plugins\bbleanskin\BBLEANSKINENG.DLL','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\Temp\6vLR2ZLP.sys');
 DeleteFile('C:\WINDOWS\system32\syssrv.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winbh51.sys');
 DeleteFile('C:\WINDOWS\ctfmon.exe');
 DeleteFile('Schedule.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('c:\windows\temp\init.exe');
 DeleteFile('C:\Documents and Settings\FTP Cracker.exe');
 DeleteFile('C:\xoblite\Brutus FTP Cracker.exe');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteService('Winbh51');
 DeleteService('Schedule');
 DeleteService('LPTRDCsrv');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Winbh51');
 BC_DeleteSvc('Schedule');
 BC_DeleteSvc('LPTRDCsrv');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\temp\init.exe,
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix и здесь

Повторите логи virusinfo_syscheck.zip и hijackthis

filthy 08-12-2008 23:55 975983
Вложений: 1
All done.

Не стал только recovery console устанавливать.

Карантин отправлен на мыло. Новые логи прикладываю.

filthy 08-12-2008 23:56 975984
Забыл самое основное: Спасибо!

Pili 09-12-2008 08:57 976110
filthy, в карантин ничего интересного не попало, подозрение только на rem.exe ушел в вирлаб, csrbc01.sys физически нет в системе, поэтому можете почистить скриптом
Код:
begin
 ClearQuarantine;
 DeleteFile('C:\WINDOWS\system32\Drivers\csrbc01.sys');
 DeleteService('CSRBC01');
ExecuteSysClean;
end.
По логу больше ничего зловредного, лог Combofix не выложили.
Рекомендую удалить Bonjour Service см. здесь или здесь
Скачайте Malwarebytes' Anti-Malware - здесь, здесь, здесь или с сайта . Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Рекомендую установить WindowsXP SP3
Что с проблемой?

filthy 09-12-2008 15:21 976408
Вложений: 1
Проблема решена. Сильно рад.

Rem.exe - это Rem Sticky Notes скачаная с softodrom. Уж лет 5 стоит, на нее не грешу.

Combofix - простите, забылось прикрепить. Исправил.

Pili 09-12-2008 17:18 976524
filthy, лог проверки MBAM ещё выложите.

filthy 09-12-2008 17:24 976531
Обязателньо. Как только проверюсь.

filthy 09-12-2008 18:52 976594
Вложений: 1
Лог MBAM прикладываю.

Java будет обновлена позже. Вот SP3 пока сомнения берут )

Pili 09-12-2008 19:33 976623
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\documents and settings\Administrator\Start Menu\Programs\Startup\userinit.exe
c:\windows\pss\userinit.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A7A75E37-429F-BD51-CE31-22AA38BE915D}]


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

filthy 09-12-2008 22:38 976819
Вложений: 1
Выполнено. Откуда снова?

Pili 10-12-2008 08:26 977057
filthy, хмм... имхо, это combofix некорректно отображает записи в реестре, поищите userinit.exe в папке c:\documents and settings\Administrator\Start Menu\Programs\Startup\ скорее всего его нет.
На всякий случай сделайте лог OTViewIt. Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

filthy 10-12-2008 09:44 977106
Вложений: 1
fixed.

По указаному пути пусто.

Pili 10-12-2008 10:39 977139
filthy, по логам чисто, tcpip.sys скорее всего патченный, в связи с этим в журнале событий есть ошибки.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите Clean up
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview


Время: 14:13.

Время: 14:13.
© OSzone.net 2001-