Перейти к содержанию
Авторизация  
MINO

[Лог+] Снова svchost или еще чего

Рекомендуемые сообщения

Здравствуйте. В последние недели 2 сталкиваюсь на разных компьютерах с одними и теми же проблемами. Проявления следующие. При воспроизведении видео (ч.з. GOM плеер обычно) появляется ошибка об отсутствующем или не правильно настроенном звуковом устройстве, при том что в диспечере устройств всё на месте, а в Панели упр. - в Звуках - Аудиоустройства отсутствуют. При этом звуки Вин, аудио-плеер - звуки есть. Переустановка драйвера и/или перезагрузка решают проблему. Как правило, это сопровождается сменой Панели задач на классический вид (кроме окон) и подвисанием Explorer'а (или сильным торможением). А еще есть такое проявление, что Виндоус может зависать либо во время загрузки, либо в момент работы уже. Что интересно - вирь передается через флеш и !еще как то! (сеть или даже *.ехе). Форматирование и переустановка, как я уже убедился, не решает проблему!. Везде стоит ХР Pro SP3 причем разные + KAV, KIS7-8 с обновл. Проявиться может по-разному - через час после переустановки, либо на след. день. Ошибка svchost выскакивает чаще при завершении работы. В остальном всё работает хорошо. Еще нюанс. Зависание Win далеко не у всех проявляется. Звук и Панель задач тоже не у всех, но в 90%. Иногда странно комп может задумываться при выполнении рядовых задач, без особой загрузки CPU. Есть подозрение на нарушение сетевых/инет функций во время сбоя svchost. И еще у некоторых вместо/вместе с ошибкой svchost выходит сообщение Вин что "...память не может быть written..." Тоже что странно - мало где. У всех "пациентов" я ставил Вин с форматом С:\ как положено от "вчера" до "пары недель назад". Проблема с произведением видео может еще проявляться как "невозможно найти кодеки" - при их наличии и во всех плеерах. Начиналось у всех с плеера GOM со своими встроенными кодеками. Проблема ВРОДЕ частично проходит при удалении GOM и установке любого другого (Media Player Classic и стандартный имеются уже).

 

Привожу логи со своего компа - у меня разово только на днях svchost появился с изменением панели (звук не мог проверить). Сейчас только svchost при завершении работы вылазит - Исправил что-то с kernel32 через стандартный скрипт AVZ - с тех пор кроме svchost при завершении, никаких проявлений. CureIt и KAV-KIS не находят ничего. НО. Вместе с появлением проблемы, при проверки avz появляется интересный кусочек лога после п.п.

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text ...

а затем до след. строки (Анализ ntdll.dll, таблица экспорта найдена в секции .text) появляется:

Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC

Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C

Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0

Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8

Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4

Детектирована модификация IAT: LoadLibraryA - 7C884F9C<>7C801D7B

Детектирована модификация IAT: GetProcAddress - 7C884FEC<>7C80AE30

потом через 2 строчки еще такое:

Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCE0E->7E400010

и еще

Функция NtNotifyChangeKey (6F) перехвачена (8061C44C->AE038840), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный

Этими строками отличаются логи avz на зараженных ПК от здоровых ПК.

 

Прошу помощи специалистов и жду результатов )

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем wise-wistful

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора C. Tantin
Процедура лечения даже одного и того же вируса может отличаться, не говоря уже о разновидностях одного и того же вируса

Поэтому не надо приводить ссылки на другие темы. Пользователи, специализирующиеся на уничтожении вирусов ответят.

Изменено пользователем C. Tantin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CureIt проверяли как? Опишите.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниься в файле C:\ComboFix.txt.

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log. Лог Gmer и ComboFix прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sm.ex',' ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Изменено пользователем wise-wistful

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Карантин получил, врага там нет. Попробуйте поискать при помощи АВЗ--сервис--поиск файлов на диске C:\WINDOWS\system32\sm.ex

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Попробуйте включить встроенный брандмауэр windows, и уберите в исключениях общий доступ к файлам и принтерам, дополнительно воспользоваться утилитой wwdc, описание здесь

Установите заплатки

MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx)

MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx)

MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx)

И все остальные обновления с windowsupdate.microsoft.com

Проверьтесь на всякий случай утилитой KidoKiller_v3.1.zip

Вполне возможно проблема в вашей сборке (вероятно samlab)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В таком случае для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Combofix-unninstal.JPG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...