Странное поведение Norton, высокая активность svchost

[rikaz78]

Приветствую! У меня проблема подобного характера. Вобщем у меня svchost тоже нагуржает комп. У меня стоит Norton. После того как я включаю свой ноутбук у меня начинается катавасия. Norton начинает блокировать какието вторжения, приэтом отправлять письма на сервер. В общем работать невозможно, постоянно появляются окна об отправке сообщения на сервер norton. Полазил в диспетчере задач увидел там svchost, а выделение памяти для этого процесса вышло 120 мб, при этом был загружен другой процесс при котором выделение памяти 200мб. Я завершил эти процессы, сообщения перестали появлятся. При пререзагрузке этот процесс заново загуржается и начинается опять отправка сообщения. Просматривая журнал безапасности, там у меня сообщения что блокирована попытка доступа к вашему компьютеру с удаленного IP. Я не уверен но помоему у меня какойто вирус. Сканировал Norton-ом и АВЗ но ничего не нашлось. Что делать подскажите. Кстати я тоже работаю в интернете у меня сайт. Может схватил вместе с какимто файлом.

Изменено 28 марта, 2009 пользователем rikaz78

[ROME'D'ROS]

rikaz78,создайте отдельную тему этой подкатегории,прикрепите сделанные логи.

Обновите Антивирус,проверьте весь комп,если не помогло,смотрите выше.

Изменено 28 марта, 2009 пользователем ROME'D'ROS

[DIMANDUC]

Касперским проверяли?

[Apollon]

Добро пожаловать на форум

Выполните пожалуйста Логи

[rikaz78]

Вы знаете у меня похоже стало намного хуже, теперь svchost.exe после отключения через диспетчер задач, через минуту он опять загружается. Появилась программа RiKaZ.exe которая постоянно прыгает в диспетчере задач. RiKaZ это мой логин. Вчера вечером проверял систему Нортоном, он обнаружил Backdoor.Trojan, я его удалил, но ничего не изменилось. В данный момент у меня антивирус блокирует какой-то вирус Hacktool.Rootkit и блокирует попытку доступа с разных IP адресов.

 

Нет Каспресперским не проверял, он у меня не установлен.

Если вы имеете ввиду онлаин Касперский, то я сейчас сделаю осмотр.

 

Логи выложу попозже, после того как выполню все пункты с раздела " ЧИТАТЬ ПЕРЕД СОЗДАНИЕМ ТЕМЫ!, Правила оформления запроса"

 

И у меня есть один вопрос, как мне закрыть антивирус нортон, у него нет функции принудительного выключения.

 

 

Вот предварительные логи. Извените пока проверку выполнил только Нортоном и то вчера (вчера ничего не нашел, а сегодня блокирует вирус который я описал выше). После проверки онлаин Касперски, я выложу повторные логи.

 

virusinfo_syscheck.zip

 

virusinfo_syscure.zip

 

hijackthis.log

Изменено 30 марта, 2009 пользователем rikaz78

[thyrex]

Вот предварительные логи. Извените пока проверку выполнил только Нортоном и то вчера (вчера ничего не нашел, а сегодня блокирует вирус который я описал выше). После проверки онлаин Касперски, я выложу повторные логи.

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\winhelp.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('drpamhwdxpuoa.sys','');
DeleteService('drpamhwdxpuoa');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
TerminateProcessByName('c:\documents and settings\rikaz\rikaz.exe'); 
QuarantineFile('c:\documents and settings\rikaz\rikaz.exe','');
DeleteFile('c:\documents and settings\rikaz\rikaz.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('drpamhwdxpuoa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com, указав в теле письма пароль на архив virus. Полученный ответ сообщите

 

Повторите логи

[rikaz78]

скрипты выполнил, карантин отправил.

Изменено 31 марта, 2009 пользователем rikaz78

[akoK]

Логи то повторите.

[rikaz78]

Извените не логи а скрипты. Я сейчас выполню проверку компа и выложу логи.

 

Кстати svchost после перезагрузки не загрузился. СПС.

 

Сделал обзор нортоном обнаружено:

1. tracking cookie - нортон - угрозу удалил антивирус

 

Сделал обзор AVZ:

2. C:\WINDOWS\system32\digeste.dll ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) - avz - Фаил удалил вручную

3. C:\Program Files\Corel\Corel VideoStudio 12\vfx_plug\Clock6.vfx >>> подозрение на Email-Worm.Win32.Kelino.b ( 07663B79 07849DA1 001936F0 00000000 12288) - avz - фаил удалил вручную

4. C:\WINDOWS\$NtServicePackUninstall$\reg01258 >>> подозрение на Trojan-PSW.Win32.OnLineGames.es ( 00032A56 00000000 00130547 00000000 8192) - avz - фаил удалил вручную

5. C:\WINDOWS\$NtServicePackUninstall$\reg01267 >>> подозрение на Trojan-PSW.Win32.OnLineGames.es ( 00032A56 00000000 00130547 00000000 8192) - avz - фаил удалил вручную

 

В диспетчере задач:

6. Приложение rikaz.exe удалил с автозагрузки и удалил из папки

 

Сделал обзор ноутбука антивирусом Avast через сеть (у меня на настольном компе стоит Avast)

7. С:\Documents and Settings\RiKaZ\Local Settings\Application Data\Opera\Opera\profile\cache4\opr054AR Вирус/червь - HTML:Iframe-inf - Аваст - фаил удалил вручную

8. С:\Documents and Settings\RiKaZ\Local Settings\Application Data\Opera\Opera\profile\cache4\opr054AX Вирус/Эксплойт - JS:Pdfka-DD [Expl] - фаил удалил вручную

9. С:\Documents and Settings\RiKaZ\Local Settings\Application Data\Opera\Opera\profile\cache4\opr055U9 Вирус/Эксплойт - JS:Pdfka-DC [Expl] - фаил удалил вручную

10. С:\Documents and Settings\RiKaZ\Local Settings\Application Data\aldea\Aldea.dll - инфекция:win32 - Adwave-gen (adw) - Фаил удалил вручную

11. с:\WINDOWS\system32\drivers\krlrk.sys вирус Win32:Rootkit-gen [Rtk] - удален антивирусом

 

Вот логи

 

virusinfo_syscheck.zip

 

virusinfo_syscure.zip

 

hijackthis.log

Изменено 31 марта, 2009 пользователем rikaz78

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки

	R3 - URLSearchHook: (no name) - - (no file)

 

Кеш оперы можете вообще почитстить, мало ли там сколько всякой дряни, со временем кеш напонится.

 

Повторите логи.

[rikaz78]

Архив я не отправил, т.к. архив оказалуся пуст.

 

вот повторные логи.

 

virusinfo_syscheck.zip

 

virusinfo_syscure.zip

 

hijackthis.log

 

У меня вопрос. Может мне поменять антивирус. Походу нортон необеспечивает надежной защиты. Я подумываю установить на ноутбуке Аваст. Как вы думаете что лучше выбрать. Буду благодарен за честный и объективный ответ.

Изменено 1 апреля, 2009 пользователем rikaz78

[LK2008]

На аваст и не надейтесь!Это по сути ДЫРА!

 

Лучше доверяйте Касперскому!Обо всех его плюсах можете найти на kaspersky.ru!

[SOL.]

Касперский, Нортон, НОД. Поробуй сам. Тут тебе кроме касперского, вряд ли что то посоветуют.

[ТроПа]

У меня вопрос. Может мне поменять антивирус. Походу нортон необеспечивает надежной защиты. Я подумываю установить на ноутбуке Аваст. Как вы думаете что лучше выбрать. Буду благодарен за честный и объективный ответ.

 

Я никогда не советую антивирус какого-то определённого вендора. Лучше посмотрите различные результаты тестирования в интернете. Потом определитесь с тем какой антивирус будете устанавливать платный или нет, а потом уже с производителем определяйтесь.

 

C:\WINDOWS\system32\Drivers\zmNTMon.sys и C:\WINDOWS\system32\DRIVERS\asc3350p.sys и C:\WINDOWS\system32\DRIVERS\asc3350.sys - проверьте на virustotal.com и выложите ссылку на результат проверки.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\krlrk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\krlrk.sys');
BC_ImportAll;
BC_DeleteSvc('drpamhwdxpuoa');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

Повторите логи.