Показано с 1 по 14 из 14.

Зараза в system32\svchost.exe:ext.exe:$DATA и что еще??? (заявка № 13314)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61

    Exclamation Зараза в system32\svchost.exe:ext.exe:$DATA и что еще???

    На машине каспер, со старыми базами, проактивной защитой ругается на system32\svchost.exe. Проверял с флешки DrWeb 4.44 с последними базами, нашел троянов, но в system32\svchost.exe ничего. Далее проверял avz4 версии 4.25, собственно она и послала сюда. Однажды было похожее, тогда avz4 успешно прибил гадость. Логи прилагаются. Надеюсь на помощь. Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от JohnDoe Посмотреть сообщение
    На машине каспер, со старыми базами, проактивной защитой ругается на system32\svchost.exe. Проверял с флешки DrWeb 4.44 с последними базами, нашел троянов, но в system32\svchost.exe ничего. Далее проверял avz4 версии 4.25, собственно она и послала сюда. Однажды было похожее, тогда avz4 успешно прибил гадость. Логи прилагаются. Надеюсь на помощь. Спасибо.
    Нужно повторить логи с AVZ актуальной версии 4.27 с обновленной базой (как я понял по логам, в версию 4.25 была вручную подсунута база от 4.27)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Скачайте свежую версию AVZ (4.27) и обновите ее базы.

    2. Очистите временные файлы IE и папку E:\WINDOWS\Temp.

    3. Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('E:\WINDOWS\system32\DefLib.sys','');
    QuarantineFile('E:\Documents and Settings\Ирина\Local Settings\Temp\winlogon.exe','');
    QuarantineFile('e:\windows\system32\svchost.exe:ext.exe:$DATA','');
    QuarantineFile('e:\windows\system32\svchost.exe:ext.exe','');
     QuarantineFile('E:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('E:\WINDOWS\msdnc4.exe','');
     QuarantineFile('E:\WINDOWS\System32\drivers\protect.sys','');
     DeleteFile('E:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('E:\WINDOWS\msdnc4.exe');
     DeleteFile('E:\WINDOWS\system32\svshost.dll');
    DeleteFile('e:\windows\system32\svchost.exe:ext.exe:$DATA');
    DeleteFile('e:\windows\system32\svchost.exe:ext.exe');
    DeleteFile('E:\Documents and Settings\Ирина\Local Settings\Temp\winlogon.exe');
    DeleteFile('E:\WINDOWS\system32\DefLib.sys');
    BC_ImportALL;
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('protect');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Пришлите содержимое карантина согласно приложению 3 правил.

    5. Пофиксите в HijackThis:
    Код:
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - E:\WINDOWS\system32\svshost.dll (file missing)
    6. Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61
    Зайцев Олег
    да, каюсь. Обновления баз беру из сети утилитой. То что версия обновилась, проглядел. Как доберусь до машины, обязательно сделаю новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61
    Вот я добрался до машины. Тут уже снесли каспера и Nod32 поставили. Просканил систему последней avz4. Логи прилагаются. Лог HijackThis после исправления O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - .....
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('e:\windows\system32\svchost.exe:ext.exe:$DATA','');
    QuarantineFile('e:\windows\system32\svchost.exe:ext.exe','');
     QuarantineFile('E:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('E:\WINDOWS\msdnc4.exe','');
     DeleteFile('E:\WINDOWS\msdnc4.exe');
     DeleteFile('E:\WINDOWS\system32\svshost.dll');
    DeleteFile('e:\windows\system32\svchost.exe:ext.exe:$DATA');
    DeleteFile('e:\windows\system32\svchost.exe:ext.exe');
    BC_ImportALL;
    BC_DeleteSvc('FCI');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки карантин по правилам + новые логи.

    Добавлено через 36 секунд

    P.S. Базы AVZ обновить не забудьте.

    Добавлено через 2 минуты

    Восстановление системы отключите!!
    И еще вот этот файлик в карантин после скрипта закиньте:
    E:\Program Files\Аськи\R&Q\plugins\History_alexey.dll
    Последний раз редактировалось Bratez; 18.10.2007 в 18:16. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61
    Bratez
    Я не стал ждать скрипта. Я выполнил тот что вы написали до этого. Он без ошибок отработал. Вот логи после лечения.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61
    Содержимое карантина отправил.

    Добавлено через 6 минут

    да вот еще. После лечения, при выключении/перезагрузке на диск А ругается. что нету его. Хотя это м.б Nod32, сканировать хочет.
    Последний раз редактировалось JohnDoe; 18.10.2007 в 18:41. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в карантин попал только ...
    E:\WINDOWS\msdnc4.exe
    Код:
    AhnLab-V3	2007.10.18.0	2007.10.17	-
    AntiVir	7.6.0.27	2007.10.18	DR/Delphi.Gen
    Authentium	4.93.8	2007.10.17	-
    Avast	4.7.1051.0	2007.10.17	-
    AVG	7.5.0.488	2007.10.18	-
    BitDefender	7.2	2007.10.18	-
    CAT-QuickHeal	9.00	2007.10.18	-
    ClamAV	0.91.2	2007.10.17	-
    DrWeb	4.44.0.09170	2007.10.18	-
    eSafe	7.0.15.0	2007.10.15	-
    eTrust-Vet	31.2.5220	2007.10.18	-
    Ewido	4.0	2007.10.18	-
    FileAdvisor	1	2007.10.18	-
    Fortinet	3.11.0.0	2007.10.18	-
    F-Prot	4.3.2.48	2007.10.18	-
    F-Secure	6.70.13030.0	2007.10.18	-
    Ikarus	T3.1.1.12	2007.10.18	-
    Kaspersky	7.0.0.125	2007.10.18	-
    McAfee	5143	2007.10.17	-
    Microsoft	1.2908	2007.10.18	-
    NOD32v2	2601	2007.10.18	-
    Norman	5.80.02	2007.10.18	-
    Panda	9.0.0.4	2007.10.18	-
    Prevx1	V2	2007.10.18	-
    Rising	19.45.32.00	2007.10.18	-
    Sophos	4.22.0	2007.10.18	Mal/Dropper-T
    Sunbelt	2.2.907.0	2007.10.18	-
    Symantec	10	2007.10.18	-
    TheHacker	6.2.9.097	2007.10.18	-
    VBA32	3.12.2.4	2007.10.17	suspected of Trojan-PSW.Pinch.90 (paranoid heuristics)
    VirusBuster	4.3.26:9	2007.10.17	-
    Webwasher-Gateway	6.6.1	2007.10.18	Trojan.Delphi.Gen

    больше не вижу ничего подозрительного в логах ...

  11. #10
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61
    V_Bond
    Там еще должен был быть E:\Program Files\Аськи\R&Q\plugins\History_alexey.dll. Его тоже в карантин занесло. Сейчас попробую найти вчерашний карантин. Он на флешке должен был остатся. и еще раз отправлю.

    Добавлено через 8 минут

    отправил. Что сохранилось. Там должно быть
    E:\Documents and Settings\Ирина\Local Settings\Temp\winlogon.exe
    E:\Documents and Settings\Ирина\Local Settings\Temporary Internet Files\Content.IE5\GD6Z81I3\603-a[1].exe
    E:\Documents and Settings\Ирина\Local Settings\Temporary Internet Files\Content.IE5\KDYN8BO9\file[1].exe
    E:\Program Files\Аськи\R&Q\plugins\History_alexey.dll
    Последний раз редактировалось JohnDoe; 18.10.2007 в 19:11. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Хорошо, что прислали.
    winlogon.exe - Trojan.Spambot.2490 (DrWeb) свежая модификация, еще не все детектят.
    History_alexey.dll - чистый.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    61
    Систему вроде вылечил. Здорово. Оч хорошая прога avz4. Есть много "вкусных" возможностей.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Можете повторить логи,чтоб убедиться что всё чисто.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\documents and settings\\ирина\\local settings\\temporary internet files\\content.ie5\\gd6z81i3\\603-a[1].exe - Trojan.Win32.Agent.cez (DrWEB: Trojan.Packed.147)
      2. e:\\documents and settings\\ирина\\local settings\\temp\\winlogon.exe - Trojan.Win32.Agent.cez (DrWEB: Trojan.Packed.147)
      3. e:\\windows\\msdnc4.exe - Trojan-Spy.Win32.Webmoner.eq (DrWEB: Trojan.Packed.194)


  • Уважаемый(ая) JohnDoe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 02.02.2010, 13:34
    2. svchost.exe:ext.exe:$DATA-Опасно
      От solova в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:22
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 03:24
    4. c:\windows\system32\svchost.exe:ext.exe:$DATA
      От magician73 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:17
    5. Помогите избавится от svchost.exe:ext.exe:$DATA
      От OlegSin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 15.02.2009, 20:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00079 seconds with 20 queries