Здравствуйте господа!
Есть машинка с Win Xp Sp2. Процесс svchost стал отжирать 100%. Случилось это после того как принесли непроверенную флешку.
Скорее всего зверек с нее. на компе стоит AVP корпоративный с последним базами. Зверька не нашел. Прогнал AVZ тож молчит.
Прогонял также Rootkit Unhooker и Tdss remover. Вроде все нормально. Логи прилагаю. Там в логах остались запись на разных зверьков в реестре, это все полечено файликов этих давно нет.
Также затер звездочками название домена. Также прикрепляю дамп процесса http://rghost.ru/11697351 (Дамп процесса).
Заметил один нюанс, под локальным админом процесс грузит 100%, под доменным админом все нормально.

Заранее благодарен.

Здравствуйте,

Сейчас посмотрю логи.

Файлы C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe и C:\WINDOWS\services.exe
проверьте на virustotal (www.virustotal.com/) и дайте ссылку на результат.

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('91.207.7.234/spm/get_id.php</PRE>from this cache until you have authenticated yourself.</P><P>You need to use Netscape version 2.0 or greater','');
QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('91.207.7.234/spm/get_id.php</PRE>from this cache until you have authenticated yourself.</P><P>You need to use Netscape version 2.0 or greater');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2000438662-3358906171-3434627317-1173\Software\Microsoft\Windows\CurrentVersion\Run','services');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2000438662-3358906171-3434627317-1173\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Подготовьте и прикрепите HiJackThis (http://forum.oszone.net/thread-177677.html) лог.

4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

В догонку

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('c:\windows\system32\drivers\rk_remover.sys','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
DeleteFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('c:\windows\system32\drivers\rk_remover.sys');
DeleteService('rk_remover-boot');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
BC_DeleteSvc('rk_remover-boot');
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

а также
Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx) даже если им не пользуетесь.

Обновляем систему до SP3. Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) (может потребоваться активация)

Скачайте и установите критические обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)

Farger
Отчет VirusTotal (http://www.virustotal.com/file-scan/report.html?id=f47dbee937f2561d8f6820e86728345d81104da192dbe1767796da951080d27a-1308567733) на файл igfxtray.exe
C:\WINDOWS\services.exe такого файла нет. Это на него ссылка в реестре осталась.
ATF Cleaner и скрипты AVZ выполнил.
Отчет Лаборатии Касперского на файл карантина:

Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. bcqr00003.dat, bcqr00004.dat, igfxtray.exe No malicious code were found in these files. Best Regards, Kaspersky Lab "10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"
Все логи прилагаю.

SolarSpark,
QuarantineFile('c:\windows\system32\drivers\rk_remover.sys',''); »
Это драйвер RootKit unhooker от Sysinternals.
QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe',''); »
Это файл висел в трее и дает доступ к настройкам встроенного видео Intel.
DeleteFile('C:\WINDOWS\services.exe'); »
Как я сказал выше этого файла давно нет.

Обновите Internet Explorer до IE8 даже если им не пользуетесь. Обновляем систему до SP3. Service Pack 3 (может потребоваться активация) Скачайте и установите критические обновления windows
Обязательно сделаю как только разберусь в svchost.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*;http://192.168.0.2;http://192.168.0.230;<local>

Вашы настройки?

Это файл висел в трее и дает доступ к настройкам встроенного видео Intel. »

Вы сами его туда прописали?

Запустите еще раз MBAM, проведите полное сканирование, отметьте эти строкт, нажмите "Remove selected"


Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.


Зараженные папки:
c:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.

Зараженные файлы:
c:\WINDOWS\inf\vvt.pnf (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\twain_32\000AB13E.uf (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\user(2).ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.

Farger,
Спасибо вам огромное. После очистки МВАМ процесс svchost от имени пользователя пропал и стало все нормально.

Сохраните текст ниже в блокноте с расширением .reg. Запустите и подтвердите внесение информации в реестр.
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\services]

В обязательном порядке:
Установите Service Pack 3 (потребуется активация) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).

Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/), даже если им не пользуетесь.

Adobe Acrobat 8 Professional обновите до последней версии или деинсталлируйте!

Обновите Adobe Flash Player до последней версии (http://www.adobe.com/support/flashplayer/downloads.html)

Пожалуйста :)

Это файл висел в трее и дает доступ к настройкам встроенного видео Intel. »

Вы сами его туда прописали?

Если проблем больше нет, тогда:

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe).
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html). Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! (http://www.freedrweb.com/cureit/)

Цитата SolarSpark: QuarantineFile('C:\Documents and Settings\innag\Главное меню\Программы\Автозагрузка\igfxtray.exe',''); »
Это файл висел в трее и дает доступ к настройкам встроенного видео Intel. »Это файл вируса, который и висел на svchost. Утилита от Intel в папке Автозагрузка никогда не прописывается :)

Этот файл является шпионом. Потому рекомендуется сменить все пароли