Показано с 1 по 6 из 6.

Опять маскировка под svchost (заявка № 13712)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2007
    Адрес
    Орел
    Сообщений
    189
    Вес репутации
    61

    Thumbs up Опять маскировка под svchost

    Антивирус Symantec выдает сообщение о угрозе и что комп заражен, но сам полностью удалить заразу не может.
    Последний раз редактировалось Aleks121; 18.01.2008 в 18:48.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью Hijackthis строчки:
    Код:
    O4 - HKLM\..\Run: [System] C:\WINDOWS\wupdsvc7.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\65CE~1\LOCALS~1\Temp\winlogon.exe
    O20 - Winlogon Notify: ati2paag - C:\WINDOWS\SYSTEM32\ati2paag.dll
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\gcc.exe','');
     QuarantineFile('\??\C:\WINDOWS\system32\ati2psag.sys','');
     QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\System32\ati2paag.dll','');
     QuarantineFile('C:\Program Files\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe','');
     QuarantineFile('c:\windows\wupdsvc7.exe','');
     QuarantineFile('c:\docume~1\65ce~1\locals~1\temp\winlogon.exe','');
     QuarantineFile('c:\windows\system32\wininet.exe','');
     DeleteFile('c:\docume~1\65ce~1\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\ati2paag.dll');
     BC_DeleteFile('C:\WINDOWS\System32\ati2paag.dll');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\system32\wininet.exe');
     BC_DeleteFile('C:\WINDOWS\system32\wininet.exe');
     BC_DeleteFile('\??\C:\WINDOWS\system32\ati2psag.sys');
     DeleteFile('\??\C:\WINDOWS\system32\ati2psag.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
     DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
     DeleteFile('C:\WINDOWS\wupdsvc7.exe');
     BC_DeleteFile('C:\WINDOWS\wupdsvc7.exe');
    DeleteFile('c:\windows\system32\mssrv32.exe');
     BC_DeleteFile('c:\windows\system32\mssrv32.exe');
    bc_deletesvc('msupdate');
    bc_deletesvc('FCI');
    bc_importquarantinelist;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=13712 , как написано в прил.3 правил, и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2007
    Адрес
    Орел
    Сообщений
    189
    Вес репутации
    61
    система была перезагружена только с помощью reset-а.
    высылаю повторно сделанные логи.
    и получили ли запрошенные файлы - virus.zip?, а то я не совсем уверен...
    Последний раз редактировалось Aleks121; 18.01.2008 в 18:48.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gcc.exe,
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
    Очистите временные файлы IE.

    Больше ничего подозрительного не видно.

    Добавлено через 37 секунд

    На всякий случай перезагрузитесь и повторите лог HijackThis.
    Последний раз редактировалось Bratez; 31.10.2007 в 15:05. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Что пришло в карантине:
    C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.ckm
    C:\Documents and Settings\Оксана\Local Settings\Temp\winlogon.exe - Trojan-Proxy.Win32.Small.hb
    c:\windows\system32\mssrv32.exe - Trojan-Downloader.Win32.Dirat.aa
    C:\WINDOWS\system32\wininet.exe - Backdoor.Win32.Small.clq
    C:\WINDOWS\System32\ati2paag.dll - Trojan-Spy.Win32.Banker.fov
    c:\windows\wupdsvc7.exe - Trojan-PSW.Win32.LdPinch.dz
    (по классификации Касперского)
    Срочно меняйте пароли на данной машине (на учетные записи пользователей, записи электронной почты, интернет-пейджеры, итд.)

  7. #6
    Junior Member Репутация
    Регистрация
    31.10.2007
    Адрес
    Орел
    Сообщений
    189
    Вес репутации
    61
    Спасибо огромное!
    Проверился, вроде ничего подозрительного.
    Пароли поменял.

  • Уважаемый(ая) Aleks121, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 31.08.2009, 01:56
    2. Обнаружена маскировка процесса svchost.exe
      От sancher в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:07
    3. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03
    4. маскировка процесса svchost
      От Fireflyer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:15
    5. Исходящий трафик и маскировка svchost.exe
      От Commilfo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.10.2007, 09:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00791 seconds with 17 queries