есть подозрения на заразу под маской svchost.exe, как убедиться?
 

У меня постоянно висит от 11 до 13 svchost процессов, причем разброс по потребляемым ресурсам от 140 до 45000 кб. Фаер пишет, что этот svchost процесс постоянно использут траффик как входящий так и и сходящий. Все это наводит на подозрения на заразу, при этом система (виста 32) работает стабильно и видимых симптомов не замечал. Подскажите кто знает, что нужно делать и куда смотреть, как поставить диагноз, как убедиться либо в заразе, либо в обратном?
Пробовал разные антивири-ничего не находят?!
Спасибо добрым людям!

aandreev, Выполните рекомендации и прикрепите к следующему сообщению полученные логи. Тему забираю в лечение.

Drongo, вроде делал по рекомендации....
Curelt ничего не увидел.

Прочтите внимательно правила. Самостоятельно архивировать текстовые части логов в файлы virusinfo_syscheck.zip и virusinfo_syscure.zip не нужно. Программа сделает архивы сама и поместит в папку LOG в папке с программой.

Переделайте

thyrex, спсб за поправку.
Как обыватель не сообразил где надо искать, просто сама утилита после сканирования не предлогает вариантов по форматам сохраняемых файлов, там только текст и усё! Вот такой выход и придумался, sorry!
А чё с файлами от hi jack делать ?

Вам знакомы эти адреса ?

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные -Смотрите что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

iskander-k, сайты не знакомы. А как и где посмотреть? Тыкал-тыкал свой Outpost pro 2009 и чё та там нигде не нашел куда идет траффик, тока ip-шники, мас адреса (и все цуко зашифрованы) и т.д.
Malwarebytes ругался тока на exe-шник webmoney, проверил его по VirusTotal-ничего, думаю ложное срабатывание?!
Логи attach!
Спсб!

Да - скорее всего ложное срабатывание.

Давайте ещё сделаем лог

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

iskander-k, логи с безопасного режима, иначе всё зависает. Кстати это норм для gmer?

ups

нет .


Ничего подозрительного в логе не вижу.

Давайте ещё так сделаем.

удалите на время Акронис - перед этим можете сделать загрузочный диск Акронис.. Эта программа иногда делает некоторые глюки.

Удалите и посмотрим что получится.

aandreev, Также попробуйте, отключить\выгрузить все программы, отлючить сеть\интернет, отключить всё защитное ПО и тогда сделать лог гмер из-под обычного режима. Во время сканирования ничего не открывайте и не нажимайте.

Ну что ж, добавлю и я. Daemon Tools удалите заодно перед тем, как будете пробовать сделать лог gmer

iskander-k, Drongo, всё что можно было отключил и пробовал сканировать несколько раз, результат один: комп сначала подвисает, на секунду синий экран и слетает в перезагрузку. :help:

thyrex, попробЫвал и без демона-всё тоже самое (перезагрузка).

Акронис удалили ?

iskander-k, Акронис вместе с Димоном удалил, потом всё почистил Tune up'ом и ССleaner'ом.
Но Gmer всё равно зависает (и далее перезагрузка системы) , только теперь не на первых минутах , а минут так через 7-10.
Ещё попробовал посканировать KidoKiller'ом, работает без зависаний но ничего не нашел-0,0,0!

aandreev, Попробуйте ещё так.

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Drongo, SDfix не устанавливается (не является приложением win 32 ссылаясь на файл installed в формате txt), а еще на прогу постоянно ругается авира.

thyrex, iskander-k, Drongo, :help:
Чё делать то мне?

aandreev, По логам ничего вредного не увидел. Проверьте компьютер утилитами CureIT или Kaspersky Virus Removal Tool

Drongo, Провер, уже давно.
CureIT-молчит
KVtool-в какой то момент зависает ( где то на середине), ставлю паузу и запуск с того же места. Вредного ничего не находит. Только утверждает со степенью точно, что все ехешники MS офиса и java есть трояны да бэкдоры ( со ссылкой на их описание на viruslist, точнее на им подобные трояны и бэкдоры), правда с опастностью низкая. Проверял их по virus total-0%.
Ребята, так в итоге такое количество открытых svchost процессов (от 11 до 15 уже сразу после запуска ОС)-это нормально, такое бывает?
Смущает еще то, что его (хост процесса) сетевая активность в outpost firewall, отображается не под одним общим svchost процессом, а на данный момент от лица трёх svchost процессов для каждого из которых идёт от 3 до 29 открытых портов для обмена исходящим и входящим траффиком.
И ещё, AVZ видит порядка 10 перехватчиков функции которых он не перехватывает?
Я уже и сам с этим всем порядком утомился и не знаю чё делать, опыта и знаний в этой широкой области маловато! Вот и мучаю тут всех.

То что ругается это нормально, все на неё ругаются, у меня тоже ругается. Запускали из безопасного режима?

Нет, это не нормально.

• Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Drongo,
Sdfix и с безопасного режима не работает тоже.
Combo что то вроде как нашел.

aandreev, По логу больше ничего не видно. Проблема не исчезла?

Нет, всё тоже самое!
Вот, с экрана....

Ноутбук?

akok, да.
Toshiba satellite a200 23p (psae6). Хотите сказать что у них так и должно быть?

Похоже это фирменый агент для обновления. (сужу по первому скрину).

akok, допустим.
Тогда что такое "Перехватчик не определён", по AVZ. И ещё, запускал скан AVZ раз так ...тцать.
Он находит и восстанавливает одни и те же функции перехвата каждый раз, т.е. видимо не лечит насовсем а нейтрализует их до следующей перезагрузки, а потом опять и опять тот же процесс (находит и восстанавливает, находит и восстанавливает.....). Это что такое, лечиться?

Это вполне легитимные перехваты от эмуляторов, защитного софта

а никак его "оптимизировать" низя, надоел уже, жрёт дифицитную оперативу?
Выходит, что можно спать спокойно, какое то время до новой фобии?

Можно побаловаться с отключением неиспользуемых служб, но как будет ноут себя вести - сказать не берусь.

Да. Спите спокойно. :teeth:

:super:
Всем, кто участвовал и советовал что либо по этой теме-большое человеческое спасибо!
:closed-to :hi: