Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Svchost.exe, загрузка системы. (http://forum.oszone.net/showthread.php?t=183610)

emtrek 23-08-2010 05:33 1479707
Svchost.exe, загрузка системы.
 
Вложений: 1
Здравствуйте.
Суть проблемы: после подключения vpn ч\з некоторое время Nod32 блокирует сайт discontprowatch и начинается загрузка одного из процессов svchost.exe на 50 %. Так же невозможно отключить компьютер (на нажании на кн. "выключить" после всех операций мелькает на короткое время синий экран (ничего не успеть разобрать) и происходит перезагрузка).

Arbitr 23-08-2010 11:24 1479844
Выполните скрипт AVZ в безопансом режиме. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('D:\Documents and Settings\MFlower\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteFile('D:\Documents and Settings\MFlower\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('D:\WINDOWS\system32\5d950b88.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
обновите базу AVZ повторите лог AVZ + RSIT
на время выполнения логов AVZ отключить ВСЕ программы, включая антивирусное ПО

emtrek 23-08-2010 17:29 1480164
Вложений: 1
Всё выполнил.

emtrek 23-08-2010 19:24 1480231
QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
c:\program files\internet explorer\setupapi.dll

Скорее всего, слудует заменить на D:\?

Arbitr 23-08-2010 19:33 1480237
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('D:\WINDOWS\system32\fjhdyfhsn.bat');
QuarantineFile('D:\WINDOWS\system32\drivers\psxmimy.sys','');
DeleteFile('D:\WINDOWS\system32\drivers\psxmimy.sys');
QuarantineFile('D:\WINDOWS\system32\drivers\ute1njc1.sys','');
DeleteFile('D:\WINDOWS\system32\drivers\ute1njc1.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteREpair(1);
RebootWindows(true);
end.
выполните в AVZ данный скрипт и

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Drongo 23-08-2010 19:37 1480242
Цитата:
Цитата emtrek
QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
c:\program files\internet explorer\setupapi.dll
Скорее всего, слудует заменить на D:\? »
Нет, так как есть в логе, так дано на выполнение.

emtrek 23-08-2010 19:46 1480247
При выполнении скрипта появляется сообщние:

Ошибка expected в позиции 17:1

Drongo 23-08-2010 19:48 1480252
emtrek, Ошибку исправил, выполните ещё раз

emtrek 23-08-2010 21:44 1480339
Вложений: 1
GMER

Arbitr 23-08-2010 22:12 1480357
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится b0o4j2lw.exe случайное имя утилиты (gmer)
Код:
b0o4j2lw.exe -del service psxmimy
b0o4j2lw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\psxmimy"
b0o4j2lw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\psxmimy"
b0o4j2lw.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [http://ifolder.ru/18984220]Загрузить обновление MBAM[/url].

help? 23-08-2010 22:15 1480358
emtrek, после всего этого лог GMER повторить не забудьте.

emtrek 23-08-2010 22:26 1480364
При запуске bat-файла были ошибки: не найден путь\модуль.

Arbitr 23-08-2010 22:34 1480373
тогда повторно лог гмера и AVZ
MBAM пока отменяется

emtrek 24-08-2010 15:26 1480783
Вложений: 1
Логи.

Arbitr 24-08-2010 15:50 1480797
выполните след скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\Drivers\psxmimy.sys','');
 DeleteFile('D:\WINDOWS\system32\Drivers\psxmimy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('psxmimy');
BC_Activate;
RebootWindows(true);
end.
повторите скрипт номер три AVZ поглядим смогли прибить или нет

emtrek 25-08-2010 09:02 1481178
3-й скрипт AVZ.

Arbitr 25-08-2010 11:33 1481239
Скачайте "OSAM" ("OSAM" (Online Solutions Autorun Manager)). В меню драйверов правой кнопкой по psxmimy и выберите "Turn Run Off", потом подтвердите перезагрузку. Прикрепите лог в формате HTMLOSAM к следующему сообщению
повторить скрипт
Цитата:
Цитата Arbitr
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\Drivers\psxmimy.sys','');
DeleteFile('D:\WINDOWS\system32\Drivers\psxmimy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('psxmimy');
BC_Activate;
RebootWindows(true);
end. »
выполнить лог AVZ №3 и лог RSIT

emtrek 27-08-2010 20:13 1483148
Вложений: 2
Три лога.

Arbitr 28-08-2010 00:58 1483287
удалить значеиние ключа в реестре в реестре
Код:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^MFlower^Главное меню^Программы^Автозагрузка^monoca32.exe]
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
у вас есть фотоаппарат который олимпус который вы подключаете??
удалить мбам удалить osam сменить все важные для вас пороли

emtrek 28-08-2010 08:23 1483332
Последний раз подключал более года назад. Или отдельно флешка с него тоже считается?
Пофиксил, удалил.

Arbitr 28-08-2010 13:56 1483430
в реестре запись удалили??
пуск - выполнить - вписать regedit
найти ключ [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\
удалить значениеD:^Documents and Settings^MFlower^Главное меню^Программы^Автозагрузка^monoca32.exe
что с проблемой? если нет и больной чувствует себя лучше отмечайте

emtrek 28-08-2010 15:49 1483519
Всё удалил. Работает идеально.
Спасибо.

Arbitr 28-08-2010 17:10 1483547
отмечайте решена.

emtrek 28-08-2010 23:33 1483812
Вложений: 2
В общем, сглазил, похоже =)
Всё началось по новой.
Только на этот раз nod спамил атаку Bubnix.AZ (AU) (скрин).

Arbitr 28-08-2010 23:42 1483824
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
 QuarantineFile('D:\Documents and Settings\MFlower\Главное меню\Программы\Автозагрузка\sysrda32.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

emtrek 29-08-2010 00:20 1483844
Вложений: 1
Отправил, просканировал.

bcqr00001.dat,
bcqr00002.dat,
sysrda32.exe

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru


Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

bcqr00001.dat,
bcqr00002.dat,
sysrda32.exe

These files are in process.

Best Regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com


>> From: f19495@olympus.ru
>> Sent: 28.08.2010 20:19:17
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email:
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip

Arbitr 29-08-2010 00:49 1483858
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
ADS::

File::
d:\documents and settings\MFlower\Application Data\hngmfc.dat
 
Driver::
 
Registry::
 
 
NetSvc::
 
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
лог RSIT и лог MBAM будте добры

emtrek 29-08-2010 07:17 1483941
Вложений: 3
Логи. Проблемы вроде больше нет. Необходимо ещё какое-либо действие?


Время: 08:11.

Время: 08:11.
© OSzone.net 2001-