Подозрение на заражение системы.

[ch4nger]

Система 1:

На системе пока нет доступа к сети, поэтому загрузить сейчас нужное по и выложить логи нет возможности.

К сожалению название вируса не знаю, но вручную убил его системными утилитами, потому как антивир не помогал.

Проблемы с системой:

Как я понимаю тот вирь я не добил, и удалить последнюю библиотеку не получается, но от самого противного симптома избавился:

При двойном клике на диск в проводнике вылезало окошко выбора программы, вместо открытия диска.

Подозрение осталось вот в чем:

1) При попытке скопировать на комп большинство типов файлов, комп вис намертво. (удалось обмануть, архивированием, переименованием в ави и копированием с последующим обратным переименованием расширения.)

2) Регулярно "умирает" папка C:\win\system32\config\system

Через консоль восстановления папка видна и она есть, но при загрузке бывает, что винда ругается на ее отсутствие.

3) В компе ни когда не стояло атишной видеокарты, но процесс зовется ati2evxx.exe и запущен из свчоста.

4) Последний запуск комп после экрана с "загрузка вин ХР" залип на черном экране и не отзывался ни на что кроме резета.

Временно, установил еще одну копию винды, но поскольку тело где-то еще на харде, боюсь повторения.

Система 2:

При работе в системе вылезает ошибка "generic host process for win32 services" при закрытии которой комп виснет (поэтому просто прячем окошки с экрана), думал багнутый сп2 в дырами, т.к. на него ссылалось большинство сайтов. Проверка, что авастом, что каспером, не дает ни чего, все возможные заплатки поставил, результат тот же.

Приехали наши айтишники, сказали "кидо", но по симптомам не похоже.

Подозрение, что это именно вирус, потому, что со временем все компьютеры в сети стали выдавать туже ошибку, плюс точно такие же симптомы и в других организациях.

[thyrex]

Система 1: C:\win\system32\config\system - это реестр. Постоянные повреждения этого файла разве не повод переустановить систему :D

Система 2: а Кидо разве не вирус? Причем, судя по масштабам, требуется лечение всей сети

По крайней мере на этой системе логи можно сделать по правилам?

И дополнительно такую проверку

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Изменено 26 июня, 2009 пользователем thyrex

[ch4nger]

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections

• IAT/EAT

• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

ГМером прогнал. Лог прикрепляю.

Остальные чуть позже.

Система 1: C:\win\system32\config\system - это реестр. Постоянные повреждения этого файла разве не повод переустановить систему

Систему переустанавливал не раз. От первоначальной системы там разве что мамка память и проц. А ошибка повторяется снова и снова. Я с этой мистикой уже упарился.

s2.log

s2.log

[thyrex]

Систему переустанавливал не раз. От первоначальной системы там разве что мамка память и проц. А ошибка повторяется снова и снова. Я с этой мистикой уже упарился.

Имелась в виду переустановка операционной системы. Но сначала рекомендую проверить винчестер на наличие ошибок

Лог оказался чистым.

Стало быть нужно выполнить стандартные правила

[ch4nger]

Про перестановку системы и имелась ввиду переустановка ОС. Просто и операционку менял (ХР сп2, ХР сп3, безсервиспаковый ХР) а ошибка одна и таже. Даже на железо грешил, но суть и не в нем. Кроме как на мистику списать не могу. В шутку естественно. Думаю, что это из-за одной из прог которую брат ставит на ту систему, но из большого числа и редкого посещения его вычислить не смогу, так что со второй системой отбой, а вот с "эпидемией свчостов" все еще актуально.

Выкладываю часть логов и два скрина:

Ошибка хайджека.

Ну и так, скрин с теми самыми ошибками которые уже в 7 экземплярах (по количеству запущенных чостов). Раньше была 1, потом 3, потом 4, а сегодня уже 7 шт.

hijackthis.log

avz_log.txt

info.txt

log.txt

hijackthis.log

avz_log.txt

info.txt

log.txt

[thyrex]

Когда делаете логи AVZ нужно:

1. Обновить базы AVZ

2. Выложить логи virusinfo_syscheck.zip, virusinfo_sysinfo.zip

Поступим так. Сделайте логи полиморфным AVZ (ссылка в моей подписи). Базы в нем по-новее, но не обновляются. И после этого предоставьте логи, указанные в п.2 предыдущего абзаца

[ch4nger]

Логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.txt

[thyrex]

В этих логах чисто

Сделайте логи полиморфным AVZ (ссылка в моей подписи) с включенным AVZPM (выбрать первую строку в соответствующем меню программы). Базы в нем по-новее, но не обновляются. И после этого предоставьте логи

Изменено 10 июля, 2009 пользователем thyrex

[ch4nger]

Это логи полиморфного.

virusinfo_syscure.zip

virusinfo_cure.zip

virusinfo_syscure.zip

virusinfo_cure.zip

[thyrex]

Этот набор svchost'ов у Вас возникает сразу после установки системы? Или после установки какого-то приложения?

[ch4nger]

Есть локальная сетка в магазине.

Больше года работала нормально, но через какое-то время на части компов стала появляться ошибка svchost'ов.

На след день, ошибка вылезла еще на некоторых системах.

А через определенное время такая ошибка появилась на ВСЕХ системах сети. (Хотя одну систему переустановили полностью, впаяли аваста, и вроде пока, что бегает нормально, без ошибки. Выжидаем.)

Есть еще две локальных сетки в городе, независимые от нашей. Там таже проблема. Начиналось с одной системы, далее переползло на все.

Не похоже это на ошибку самой системы, уж слишком похоже на вирусную эпидемию. Хотя все может быть.

После чего ошибка вылезает, не понятно. Может и сразу после включения, а может часа через 4 работы. Одно точно, что всегда и везде подключена локальная сетка.

[thyrex]

Давайте этим посмотри

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

[ch4nger]

Malwarebytes' Anti-Malware 1.38

Версия базы данных: 2414

Windows 5.1.2600 Service Pack 2

13.07.2009 9:21:18

mbam-log-2009-07-13 (09-21-15).txt

Тип проверки: Полная (C:\|)

Проверено объектов: 121377

Прошло времени: 12 minute(s), 49 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 0

Заражено файлов: 0

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

(Вредоносные программы не обнаружены)

Какбы чисто показывает. :)

[thyrex]

Да,чисто. Неплохо было бы проверить, после подключения какого из компьютеров в сеть возникают ошибки.

Если такой компьютер единственный, то источник проблем, возможно, на таком компьютере

А как насчет патчей для системы? Везде установлены последние обновления (как минимум SP3 давно нужно было поставить)?

Изменено 13 июля, 2009 пользователем thyrex

[ch4nger]

Самому хотелось бы знать с какого компа "атаки". Хоть сниферы ставь на отслеживание и логирование трафика, потому, что ни как не остановить работу всего магазина ради поэтапной проверки и вычисления нужного компа.

Я бы все системы пропатчил, но мне не доверяют, а айтишники наши, хрен сдвинутся. Уже не первую неделю их пинают, а толку ноль.

[ch4nger]

В общем если кому поможет, решилось все переустановкой каспера и полной проверкой системы. По результатам ни чего не найдено, но судя по всему каспер встал заплатками на дыры куда стучалась дрянь, и ошибки исчезли.

[Форматцевт]

ch4nger:

решилось все переустановкой каспера

с избыточными базами наверное? Просто подумалось, как бы он сам не вирусифицировался или не снёс что то нужное.

[ch4nger]

Indomito: Буду надеяться, что не вирусифицировался. Пока что бегает и не тормозит, работать можно. Да и не думаю, что после такой тотальной проверки и нулевыми результатами что-то в системе есть. Больше склоняюсь к тому, что дрянь стучалась, но процесс в который должна была внедриться умирал, поэтому атаковался следующий, который тоже в свою очередь умирал, и так до конца. Ну а далее и стучаться некуда.

Но это только теория, практика же не показала ни чего.

Будем работать на надежде.

Всем спасибо.