User%1 0 Опубликовано 7 апреля, 2009 Share Опубликовано 7 апреля, 2009 Добрый день. Svchost.exe и csrss.exe постоянно используют почти все ресурсы системы. Трафик при этом не гоняется. Логи и скриншот диспетчера задач прилагаю. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 7 апреля, 2009 Share Опубликовано 7 апреля, 2009 (изменено) Добрый день.Svchost.exe и csrss.exe постоянно используют почти все ресурсы системы. Трафик при этом не гоняется. Логи и скриншот диспетчера задач прилагаю. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteFile('C:\WINDOWS\system32\twex.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, Повторите логи Изменено 7 апреля, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 9 апреля, 2009 Автор Share Опубликовано 9 апреля, 2009 Выполнил скрипт и фикс, после перезагрузки avast нашёл c:\windows\system32\activedst.exe и удалил. Сегодня снова прежние симптомы, twex.exe на месте, загрузка 100%. Опять прогоняю скрипты, перезагрузка, опять обнаруживается activedst.exe Ответа по поводу нового вируса ещё не получал. Повторяю логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('W32TimeTermServiceALG', 4); SetServiceStart('WmiBrowser', 4); SetServiceStart('wuauservNetDDE', 4); SetServiceStart('WebClientLVSrvLauncher', 4); SetServiceStart('WebClientLVSrvLauncherTermServiceALG', 4); SetServiceStart('WMPNetworkSvcEventlogMessenger', 4); SetServiceStart('WSearchmnmsrvcsrservice', 4); SetServiceStart('W32TimeSharedAccess', 4); SetServiceStart('TermServiceSharedAccessxmlprov', 4); SetServiceStart('TermServiceSharedAccess', 4); SetServiceStart('TermServiceALG', 4); SetServiceStart('stisvcMSDTC', 4); SetServiceStart('RSVPEventlog', 4); SetServiceStart('RpcLocatorANIWZCSdService', 4); SetServiceStart('srserviceRDSessMgrAppMgmt', 4); SetServiceStart('seclogonUPS', 4); SetServiceStart('SCardSvrRemoteAccess', 4); SetServiceStart('SamSsseclogon', 4); SetServiceStart('RSVPEventlogMSDTC', 4); SetServiceStart('RemoteRegistrygusvc', 4); SetServiceStart('RemoteRegistrygupdate1c98850c15f9b70napagent', 4); QuarantineFile('C:\WINDOWS\system32\admparsel.exe',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\SIPPOI~1.OCX',''); QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys',''); QuarantineFile('C:\WINDOWS\system32\1041i.exe',''); QuarantineFile('C:\WINDOWS\system32\AHQCpURest.exe',''); QuarantineFile('C:\WINDOWS\system32\actskin4c.exe',''); SetServiceStart('RemoteRegistrygupdate1c98850c15f9b70', 4); DeleteService('RemoteRegistrygupdate1c98850c15f9b70'); SetServiceStart('RDSessMgrUPSCryptSvc', 4); DeleteService('RDSessMgrUPSCryptSvc'); SetServiceStart('RDSessMgrUPS', 4); DeleteService('RDSessMgrUPS'); SetServiceStart('RDSessMgrLmHostsRDSessMgrLmHosts', 4); DeleteService('RDSessMgrLmHostsRDSessMgrLmHosts'); SetServiceStart('RDSessMgrLmHosts', 4); DeleteService('RDSessMgrLmHosts'); SetServiceStart('RDSessMgrAppMgmt', 4); DeleteService('RDSessMgrAppMgmt'); QuarantineFile('C:\WINDOWS\TEMP\699032758.exe',''); SetServiceStart('ProtectedStorageEventlog', 4); DeleteService('ProtectedStorageEventlog'); SetServiceStart('NetDDEdsdmJavaQuickStarterService', 4); DeleteService('NetDDEdsdmJavaQuickStarterService'); SetServiceStart('mnmsrvcsrservice', 4); DeleteService('mnmsrvcsrservice'); SetServiceStart('LmHostsNla', 4); DeleteService('LmHostsNla'); SetServiceStart('lanmanworkstationhelpsvc', 4); DeleteService('lanmanworkstationhelpsvc'); DeleteService('lanmanworkstationBrowser'); SetServiceStart('lanmanworkstationBrowser', 4); DeleteService('JavaQuickStarterService LM Service'); SetServiceStart('JavaQuickStarterService LM Service', 4); SetServiceStart('HTTPFilterRemoteAccess', 4); DeleteService('HTTPFilterRemoteAccess'); SetServiceStart('gupdate1c98850c15f9b70SamSs', 4); DeleteService('gupdate1c98850c15f9b70SamSs'); QuarantineFile('C:\WINDOWS\system32\~.exe',''); SetServiceStart('EventlogMessenger', 4); DeleteService('EventlogMessenger'); SetServiceStart('EapHostNetlogon', 4); DeleteService('EapHostNetlogon'); SetServiceStart('EapHostNetDDE', 4); DeleteService('EapHostNetDDE'); SetServiceStart('Dot3svcThemesWmiBrowser', 4); DeleteService('Dot3svcThemesWmiBrowser'); SetServiceStart('Dot3svcThemes', 4); DeleteService('Dot3svcThemes'); SetServiceStart('DnscacheSENS', 4); DeleteService('DnscacheSENS'); SetServiceStart('dmserverseclogonUPS', 4); DeleteService('dmserverseclogonUPS'); SetServiceStart('COMSysAppRpcSs', 4); DeleteService('COMSysAppRpcSs'); SetServiceStart('ClipSrvRDSessMgr', 4); DeleteService('ClipSrvRDSessMgr'); SetServiceStart('avast!NetDDEdsdm', 4); DeleteService('avast!NetDDEdsdm'); SetServiceStart('AlerterhelpsvcCOMSysApp', 4); DeleteService('AlerterhelpsvcCOMSysApp'); SetServiceStart('Alerterhelpsvc', 4); DeleteService('Alerterhelpsvc'); QuarantineFile('C:\WINDOWS\system32\a15h.exe',''); SetServiceStart('AdobesrserviceRDSessMgrAppMgmt', 4); DeleteService('AdobesrserviceRDSessMgrAppMgmt'); QuarantineFile('C:\WINDOWS\system32\adsldpc.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\WINDOWS\system32\adsldpc.exe'); DeleteFile('C:\WINDOWS\system32\a15h.exe'); DeleteFile('C:\WINDOWS\system32\~.exe'); DeleteFile('C:\WINDOWS\TEMP\699032758.exe'); DeleteFile('C:\WINDOWS\system32\actskin4c.exe'); DeleteFile('C:\WINDOWS\system32\admparsel.exe'); DeleteFile('C:\WINDOWS\system32\AHQCpURest.exe'); DeleteFile('C:\WINDOWS\system32\1041i.exe'); DeleteService('wuauservNetDDE'); DeleteService('WSearchmnmsrvcsrservice'); DeleteService('WMPNetworkSvcEventlogMessenger'); DeleteService('WmiBrowser'); DeleteService('WebClientLVSrvLauncherTermServiceALG'); DeleteService('WebClientLVSrvLauncher'); DeleteService('W32TimeTermServiceALG'); DeleteService('W32TimeSharedAccess'); DeleteService('TermServiceSharedAccessxmlprov'); DeleteService('TermServiceSharedAccess'); DeleteService('TermServiceALG'); DeleteService('stisvcMSDTC'); DeleteService('srserviceRDSessMgrAppMgmt'); DeleteService('seclogonUPS'); DeleteService('SCardSvrRemoteAccess'); DeleteService('SamSsseclogon'); DeleteService('RSVPEventlogMSDTC'); DeleteService('RSVPEventlog'); DeleteService('RpcLocatorANIWZCSdService'); DeleteService('RemoteRegistrygusvc'); DeleteService('RemoteRegistrygupdate1c98850c15f9b70napagent'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Включите AVZPM и повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 9 апреля, 2009 Автор Share Опубликовано 9 апреля, 2009 Повтор логов virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys',''); SetServiceStart('RDSessMgrAppMgmt', 4); DeleteFile('C:\WINDOWS\system32\adsnty.exe'); DeleteService('RDSessMgrAppMgmt'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите логи и сообщите, что нашли АВ аналитики. Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 9 апреля, 2009 Автор Share Опубликовано 9 апреля, 2009 При выполнении скрипта: Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aeaudio.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aeaudio.sys) Карантин с использованием прямого чтения - ошибка Цитата Ссылка на сообщение Поделиться на другие сайты
antispy 7 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 Повторите логи, для контроля удаления, то что не захотели в карантин, плохо, но не критично. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 9 апреля, 2009 Автор Share Опубликовано 9 апреля, 2009 Повтор логов hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 Есть ответ из вирлаба? Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 9 апреля, 2009 Автор Share Опубликовано 9 апреля, 2009 Отсутствует Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 c:\windows\system32\winlogon.exe - проверьте на http://www.virustotal.com Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 10 апреля, 2009 Автор Share Опубликовано 10 апреля, 2009 Чисто Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 10 апреля, 2009 Share Опубликовано 10 апреля, 2009 В смысле чисто? Никто не отреагировал? Дайте ссылку на результат проверки. Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 11 апреля, 2009 Автор Share Опубликовано 11 апреля, 2009 http://www.virustotal.com/ru/analisis/1051...9c1c1809d76ea34 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.