Перейти к содержанию
Правила раздела

[Лог+] Снова svchost или еще чего

MINO

От MINO
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

MINO Новичок

MINO

Опубликовано
Опубликовано (изменено)

Здравствуйте. В последние недели 2 сталкиваюсь на разных компьютерах с одними и теми же проблемами. Проявления следующие. При воспроизведении видео (ч.з. GOM плеер обычно) появляется ошибка об отсутствующем или не правильно настроенном звуковом устройстве, при том что в диспечере устройств всё на месте, а в Панели упр. - в Звуках - Аудиоустройства отсутствуют. При этом звуки Вин, аудио-плеер - звуки есть. Переустановка драйвера и/или перезагрузка решают проблему. Как правило, это сопровождается сменой Панели задач на классический вид (кроме окон) и подвисанием Explorer'а (или сильным торможением). А еще есть такое проявление, что Виндоус может зависать либо во время загрузки, либо в момент работы уже. Что интересно - вирь передается через флеш и !еще как то! (сеть или даже *.ехе). Форматирование и переустановка, как я уже убедился, не решает проблему!. Везде стоит ХР Pro SP3 причем разные + KAV, KIS7-8 с обновл. Проявиться может по-разному - через час после переустановки, либо на след. день. Ошибка svchost выскакивает чаще при завершении работы. В остальном всё работает хорошо. Еще нюанс. Зависание Win далеко не у всех проявляется. Звук и Панель задач тоже не у всех, но в 90%. Иногда странно комп может задумываться при выполнении рядовых задач, без особой загрузки CPU. Есть подозрение на нарушение сетевых/инет функций во время сбоя svchost. И еще у некоторых вместо/вместе с ошибкой svchost выходит сообщение Вин что "...память не может быть written..." Тоже что странно - мало где. У всех "пациентов" я ставил Вин с форматом С:\ как положено от "вчера" до "пары недель назад". Проблема с произведением видео может еще проявляться как "невозможно найти кодеки" - при их наличии и во всех плеерах. Начиналось у всех с плеера GOM со своими встроенными кодеками. Проблема ВРОДЕ частично проходит при удалении GOM и установке любого другого (Media Player Classic и стандартный имеются уже).

 

Привожу логи со своего компа - у меня разово только на днях svchost появился с изменением панели (звук не мог проверить). Сейчас только svchost при завершении работы вылазит - Исправил что-то с kernel32 через стандартный скрипт AVZ - с тех пор кроме svchost при завершении, никаких проявлений. CureIt и KAV-KIS не находят ничего. НО. Вместе с появлением проблемы, при проверки avz появляется интересный кусочек лога после п.п.

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text ...

а затем до след. строки (Анализ ntdll.dll, таблица экспорта найдена в секции .text) появляется:

Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC

Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C

Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0

Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8

Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4

Детектирована модификация IAT: LoadLibraryA - 7C884F9C<>7C801D7B

Детектирована модификация IAT: GetProcAddress - 7C884FEC<>7C80AE30

потом через 2 строчки еще такое:

Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCE0E->7E400010

и еще

Функция NtNotifyChangeKey (6F) перехвачена (8061C44C->AE038840), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный

Этими строками отличаются логи avz на зараженных ПК от здоровых ПК.

 

Прошу помощи специалистов и жду результатов )

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
BigDeF Постоялец

BigDeF

Опубликовано
Опубликовано (изменено)

Сообщение от модератора C. Tantin
Процедура лечения даже одного и того же вируса может отличаться, не говоря уже о разновидностях одного и того же вируса

Поэтому не надо приводить ссылки на другие темы. Пользователи, специализирующиеся на уничтожении вирусов ответят.

Изменено пользователем C. Tantin
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

CureIt проверяли как? Опишите.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниься в файле C:\ComboFix.txt.

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log. Лог Gmer и ComboFix прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sm.ex',' ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Alexey_I Постоялец

Alexey_I

Опубликовано
Опубликовано

Попробуйте включить встроенный брандмауэр windows, и уберите в исключениях общий доступ к файлам и принтерам, дополнительно воспользоваться утилитой wwdc, описание здесь

Установите заплатки

MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx)

MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx)

MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx)

И все остальные обновления с windowsupdate.microsoft.com

Проверьтесь на всякий случай утилитой KidoKiller_v3.1.zip

Вполне возможно проблема в вашей сборке (вероятно samlab)

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

В таком случае для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Combofix-unninstal.JPG

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • dkhilobok
      2024 и снова Камчатка
      От dkhilobok
      Снова Камчатка: Долина Гейзеров с обратной стороны.

      Этим летом на Камчатке нам очень много что повезло. В том числе пройти по следам турмарштура №264, которые нас привели в Долину гейзеров.
       
      Обычно туристов водят по Долине по другой стороне ручья, мы же пришли ногами со стороны кальдеры Узон. Соответственно получилось взглянуть на ряд картинок, доступных в основном медведям.
       
      От кордона «Глухой» до Долины примерно 10-12км. Первую половину пути топать по прямой с небольшим набором высоты. Даже немного скучно Меньше, чем полтора часа в пути - и мы на перевале.
       
      В 2007г здесь сошел оползень, который засыпал большое количество гейзеров, перегородил реку дамбой и образовалось озеро.
      Потом река постепенно размыла дамбу, озеро исчезло, а вода продолжает промываться к старому руслу.
       
      Прошло время, засыпанные гейзеры и пульсирующие источники местами пробили нанесённый грунт и получились вот такие симпатичные котлы с подземным кипятком.

      Видео посмотреть на других платформах:
      https://dzen.ru/shorts/673f3f8359f0ad5be841082e?share_to=link
      https://vk.com/clip302262930_456239251
       
      v2 Долина Гейзеров.mp4
    • Svejhiy
      heur:trojan.multi.genbadur.genw возвращается снова и снова
      От Svejhiy
      Проникся чувством ностальгии и решил скачать одну игрушку, а в ней троян был
      Игрушку удалил, лечение сделал, думал дело в шляпе, но вирус возвращается снова и снова после каждой перезагрузки
      Логи прикрепил
      CollectionLog-2024.10.22-18.04.zip
    • Добрячок
      [РЕШЕНО] Троян HEUR:Trojan.Multi.GenBadur.genw в System Memory после удаления всегда появляется снова
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • GlibZabiv
      HEUR:Trojan.Multi.GenBadur.genw после лечения и перезагрузки снова отображается
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
×
×
  • Создать...