ch4nger Опубликовано 26 июня, 2009 Жалоба Поделиться Опубликовано 26 июня, 2009 Система 1: На системе пока нет доступа к сети, поэтому загрузить сейчас нужное по и выложить логи нет возможности. К сожалению название вируса не знаю, но вручную убил его системными утилитами, потому как антивир не помогал. Проблемы с системой: Как я понимаю тот вирь я не добил, и удалить последнюю библиотеку не получается, но от самого противного симптома избавился: При двойном клике на диск в проводнике вылезало окошко выбора программы, вместо открытия диска. Подозрение осталось вот в чем: 1) При попытке скопировать на комп большинство типов файлов, комп вис намертво. (удалось обмануть, архивированием, переименованием в ави и копированием с последующим обратным переименованием расширения.) 2) Регулярно "умирает" папка C:\win\system32\config\system Через консоль восстановления папка видна и она есть, но при загрузке бывает, что винда ругается на ее отсутствие. 3) В компе ни когда не стояло атишной видеокарты, но процесс зовется ati2evxx.exe и запущен из свчоста. 4) Последний запуск комп после экрана с "загрузка вин ХР" залип на черном экране и не отзывался ни на что кроме резета. Временно, установил еще одну копию винды, но поскольку тело где-то еще на харде, боюсь повторения. Система 2: При работе в системе вылезает ошибка "generic host process for win32 services" при закрытии которой комп виснет (поэтому просто прячем окошки с экрана), думал багнутый сп2 в дырами, т.к. на него ссылалось большинство сайтов. Проверка, что авастом, что каспером, не дает ни чего, все возможные заплатки поставил, результат тот же. Приехали наши айтишники, сказали "кидо", но по симптомам не похоже. Подозрение, что это именно вирус, потому, что со временем все компьютеры в сети стали выдавать туже ошибку, плюс точно такие же симптомы и в других организациях. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 26 июня, 2009 Жалоба Поделиться Опубликовано 26 июня, 2009 (изменено) Система 1: C:\win\system32\config\system - это реестр. Постоянные повреждения этого файла разве не повод переустановить систему :D Система 2: а Кидо разве не вирус? Причем, судя по масштабам, требуется лечение всей сети По крайней мере на этой системе логи можно сделать по правилам? И дополнительно такую проверку Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Изменено 26 июня, 2009 пользователем thyrex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 8 июля, 2009 Автор Жалоба Поделиться Опубликовано 8 июля, 2009 Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. ГМером прогнал. Лог прикрепляю. Остальные чуть позже. Система 1: C:\win\system32\config\system - это реестр. Постоянные повреждения этого файла разве не повод переустановить систему Систему переустанавливал не раз. От первоначальной системы там разве что мамка память и проц. А ошибка повторяется снова и снова. Я с этой мистикой уже упарился. s2.log s2.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 8 июля, 2009 Жалоба Поделиться Опубликовано 8 июля, 2009 Систему переустанавливал не раз. От первоначальной системы там разве что мамка память и проц. А ошибка повторяется снова и снова. Я с этой мистикой уже упарился.Имелась в виду переустановка операционной системы. Но сначала рекомендую проверить винчестер на наличие ошибокЛог оказался чистым. Стало быть нужно выполнить стандартные правила Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 9 июля, 2009 Автор Жалоба Поделиться Опубликовано 9 июля, 2009 Про перестановку системы и имелась ввиду переустановка ОС. Просто и операционку менял (ХР сп2, ХР сп3, безсервиспаковый ХР) а ошибка одна и таже. Даже на железо грешил, но суть и не в нем. Кроме как на мистику списать не могу. В шутку естественно. Думаю, что это из-за одной из прог которую брат ставит на ту систему, но из большого числа и редкого посещения его вычислить не смогу, так что со второй системой отбой, а вот с "эпидемией свчостов" все еще актуально. Выкладываю часть логов и два скрина: Ошибка хайджека. Ну и так, скрин с теми самыми ошибками которые уже в 7 экземплярах (по количеству запущенных чостов). Раньше была 1, потом 3, потом 4, а сегодня уже 7 шт. hijackthis.log avz_log.txt info.txt log.txt hijackthis.log avz_log.txt info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 9 июля, 2009 Жалоба Поделиться Опубликовано 9 июля, 2009 Когда делаете логи AVZ нужно: 1. Обновить базы AVZ 2. Выложить логи virusinfo_syscheck.zip, virusinfo_sysinfo.zip Поступим так. Сделайте логи полиморфным AVZ (ссылка в моей подписи). Базы в нем по-новее, но не обновляются. И после этого предоставьте логи, указанные в п.2 предыдущего абзаца Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 10 июля, 2009 Автор Жалоба Поделиться Опубликовано 10 июля, 2009 Логи virusinfo_syscheck.zip virusinfo_syscure.zip avz_log.txt virusinfo_syscheck.zip virusinfo_syscure.zip avz_log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 10 июля, 2009 Жалоба Поделиться Опубликовано 10 июля, 2009 (изменено) В этих логах чисто Сделайте логи полиморфным AVZ (ссылка в моей подписи) с включенным AVZPM (выбрать первую строку в соответствующем меню программы). Базы в нем по-новее, но не обновляются. И после этого предоставьте логи Изменено 10 июля, 2009 пользователем thyrex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 10 июля, 2009 Автор Жалоба Поделиться Опубликовано 10 июля, 2009 Это логи полиморфного. virusinfo_syscure.zip virusinfo_cure.zip virusinfo_syscure.zip virusinfo_cure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 10 июля, 2009 Жалоба Поделиться Опубликовано 10 июля, 2009 Этот набор svchost'ов у Вас возникает сразу после установки системы? Или после установки какого-то приложения? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 10 июля, 2009 Автор Жалоба Поделиться Опубликовано 10 июля, 2009 Есть локальная сетка в магазине. Больше года работала нормально, но через какое-то время на части компов стала появляться ошибка svchost'ов. На след день, ошибка вылезла еще на некоторых системах. А через определенное время такая ошибка появилась на ВСЕХ системах сети. (Хотя одну систему переустановили полностью, впаяли аваста, и вроде пока, что бегает нормально, без ошибки. Выжидаем.) Есть еще две локальных сетки в городе, независимые от нашей. Там таже проблема. Начиналось с одной системы, далее переползло на все. Не похоже это на ошибку самой системы, уж слишком похоже на вирусную эпидемию. Хотя все может быть. После чего ошибка вылезает, не понятно. Может и сразу после включения, а может часа через 4 работы. Одно точно, что всегда и везде подключена локальная сетка. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 10 июля, 2009 Жалоба Поделиться Опубликовано 10 июля, 2009 Давайте этим посмотри Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 13 июля, 2009 Автор Жалоба Поделиться Опубликовано 13 июля, 2009 Malwarebytes' Anti-Malware 1.38Версия базы данных: 2414 Windows 5.1.2600 Service Pack 2 13.07.2009 9:21:18 mbam-log-2009-07-13 (09-21-15).txt Тип проверки: Полная (C:\|) Проверено объектов: 121377 Прошло времени: 12 minute(s), 49 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 3 Заражено папок: 0 Заражено файлов: 0 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: (Вредоносные программы не обнаружены) Какбы чисто показывает. :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 13 июля, 2009 Жалоба Поделиться Опубликовано 13 июля, 2009 (изменено) Да,чисто. Неплохо было бы проверить, после подключения какого из компьютеров в сеть возникают ошибки. Если такой компьютер единственный, то источник проблем, возможно, на таком компьютере А как насчет патчей для системы? Везде установлены последние обновления (как минимум SP3 давно нужно было поставить)? Изменено 13 июля, 2009 пользователем thyrex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 13 июля, 2009 Автор Жалоба Поделиться Опубликовано 13 июля, 2009 Самому хотелось бы знать с какого компа "атаки". Хоть сниферы ставь на отслеживание и логирование трафика, потому, что ни как не остановить работу всего магазина ради поэтапной проверки и вычисления нужного компа. Я бы все системы пропатчил, но мне не доверяют, а айтишники наши, хрен сдвинутся. Уже не первую неделю их пинают, а толку ноль. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 20 июля, 2009 Автор Жалоба Поделиться Опубликовано 20 июля, 2009 В общем если кому поможет, решилось все переустановкой каспера и полной проверкой системы. По результатам ни чего не найдено, но судя по всему каспер встал заплатками на дыры куда стучалась дрянь, и ошибки исчезли. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 20 июля, 2009 Жалоба Поделиться Опубликовано 20 июля, 2009 ch4nger: решилось все переустановкой каспера с избыточными базами наверное? Просто подумалось, как бы он сам не вирусифицировался или не снёс что то нужное. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ch4nger Опубликовано 20 июля, 2009 Автор Жалоба Поделиться Опубликовано 20 июля, 2009 Indomito: Буду надеяться, что не вирусифицировался. Пока что бегает и не тормозит, работать можно. Да и не думаю, что после такой тотальной проверки и нулевыми результатами что-то в системе есть. Больше склоняюсь к тому, что дрянь стучалась, но процесс в который должна была внедриться умирал, поэтому атаковался следующий, который тоже в свою очередь умирал, и так до конца. Ну а далее и стучаться некуда. Но это только теория, практика же не показала ни чего. Будем работать на надежде. Всем спасибо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.