-
Junior Member
- Вес репутации
- 51
файл svchost от имени пользователя
Как я понимаю, файл svchost должен быть запущен от системы. У меня же он появился в диспетчере задач с запуском от моего пользователя. Жрет либо 100ЦП, либо 50ЦП, по разному. Уже пытался его закрывать, все равно автоматически запускается.
На 99% уверен, что это вирус.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) myaso, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
выполните скрипт
Код:
begin
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\sprt_______________________________________________________________________________________________________________________________________________.exe','');
end.
пришлите карантин согласно приложения 3 правил
-
-
Junior Member
- Вес репутации
- 51
выполнил, создалась папка 2012-04-28, но в ней совершенно пусто.
-
Диск F:\ это что ?
а также что у вас находится в папке ? :
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\
-
-
Junior Member
- Вес репутации
- 51
диск F это тот диск(HDD), на котором лежат файлы и установлена винда(но если не ошибаюсь, винда запускается с другого жесткого диска.
В папке находится всякий хлам... файлы которые скачивались.
Добавлено через 4 минуты
диск F это тот диск(HDD), на котором лежат файлы и установлена винда(но если не ошибаюсь, винда запускается с другого жесткого диска.
В папке находится всякий хлам... файлы которые скачивались.
Еще я заметил что с рабочего стола пропал ярлык(может это и не связано). И теперь svchost не грузит систему, а просто висит в диспетчере.
Добавлено через 5 секунд
диск F это тот диск(HDD), на котором лежат файлы и установлена винда(но если не ошибаюсь, винда запускается с другого жесткого диска.
В папке находится всякий хлам... файлы которые скачивались.
Еще я заметил что с рабочего стола пропал ярлык(может это и не связано). И теперь svchost не грузит систему, а просто висит в диспетчере.
Последний раз редактировалось myaso; 29.04.2012 в 16:25.
Причина: Добавлено
-
поищите файл
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\sprt_______________________________________ __________________________________________________ __________________________________________________ ____.exe
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 51
Такого файла нету. Искал по запросу sprt и ______
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ только указанные ниже записи
Код:
Обнаруженные ключи в реестре: 2
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
Объекты реестра обнаружены: 6
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
Обнаруженные папки: 1
F:\Documents and Settings\дима\Application Data\archsoft (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы: 55
C:\Program Files\MyWebSearch\bar\1.bin\F3CJPEG.DLL (PUP.FunWebProducts) -> Действие не было предпринято.
F:\avz4\Quarantine\2012-04-26\avz00003.dta (Spyware.Zeus) -> Действие не было предпринято.
G:\avz4\Quarantine\2010-09-26\avz00001.dta (Rootkit.Dropper) -> Действие не было предпринято.
G:\avz4\Quarantine\2010-09-26\bcqr00001.dat (Rootkit.Dropper) -> Действие не было предпринято.
G:\avz4\Quarantine\2010-09-26\bcqr00002.dat (Rootkit.Dropper) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\a.htm (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\bander.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\winzipvinfo (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\archsoft\_todel8.png (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
F:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
F:\Program Files\Common Files\jqyrg4inedzz13m (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал. При скане выскочила ошибка и аваст нашел вирусы(с ними я ничего не делал, даже в карантин не клал. Думал что все впорядке и mbam их нашел повторно. А оказалось нет... вроде как новые)
Add: только что заметил, что пропали диски C и D. Это один жесткий диск.
08/06/2012 Add: жесткий диск C и D появились, сейчас просканирю еще раз cureit и потом сделаю логи как и в первом посте.
Последний раз редактировалось mrak74; 16.02.2013 в 21:25.
-
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Больше придраться не к чему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
cureit удалил кучу всякого хлама..., после проверки avz, вроде опять в папке F:/system volume или как там ее... нашелся вирус.
Посмотрите пожалуйста еще раз новые логи.
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
в остальном все нормально.
I am not young enough to know everything...
-