svchost.com внезапно стал просить внести изменения

**skadi** · 19.03.2014, 10:10

Здравствуйте! Возникли сомнения по поводу процесса svchost.com, что это файловый вирус. Расположен в C:\Windows\svchost.com. При запуске любого приложения выходит окно Контроль учетных записей пользователей (Windows7), чтобы под правами администратора разрешить внести изменения этой программе. Соответственно без разрешения ни одно приложение не запускается, в том числе и Dr.Web CureIt!, а нажать Да рука не поднимается, т.к. не понятно с чего вдруг это началось. Как поступить в такой ситуации, чтобы сделать логи? Компьютер не выходит в безопасный режим, только дает возможность в BIOS выбрать загрузочное устройство.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.03.2014, 10:11

Уважаемый(ая) skadi, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**skadi** · 19.03.2014, 10:51

Пока меня не было за компьютером мои домашние умники уже нажали эту пресловутую Да. Ну, зато можно сразу запустить утилиту др.веб. Результат - во всех ехе-шках, и в обновлениях винды, сидел Win32.HLLP.Neshta. Утилита обезвредила их. Теперь нужно логи делать?

**mike 1** · 19.03.2014, 11:58

Вы заражены файловым вирусом Neshta! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого сделайте и прикрепите новые логи.

**skadi** · 19.03.2014, 13:34

После первой проверки ДрВеб провел лечение. После Вашего ответа при повторной проверке с диска вебовская утилита ничего не нашла. Логи сделаны.
Кстати, после лечения при перезагрузке стало появлять некое сообщение (во вложение скрин), а также слетела мозилла фаерфокс (но это не критично).

**regist** · 19.03.2014, 13:57

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Max\AppData\Roaming\askme\5minecraft.ru.url','');
 DeleteFile('C:\Windows\system32\Tasks\{255D106A-6DA3-4F45-8FAE-1FB7DF91553E}','64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
- Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
- Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
После того как закончится проверка в командной строке введите команду:
Код:
```
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
```
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**skadi** · 19.03.2014, 14:18

Как выполнить п.1, если у меня нет диска, с которого устанавливали Windows? ...(упс, нашелся образ диска установщика, надеюсь подойдет смонтированный образ диска)
Скрип выполнен, но при загрузке карантина по ссылке вверху пишет - Ошибка загрузке, данный файл уже был загружен.
п.2 и 3 выполнены, написал, что ничего не нарушено. (правда AVZ пришлось скачивать заново, прежний вместо названий закладок и строк имел цифры и проценты)
нужные файлы вложены.

**regist** · 19.03.2014, 15:36

Сообщение от skadi

Как выполнить п.1, если у меня нет диска, с которого устанавливали Windows?

...

Сообщение от regist

(либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.

- - - Добавлено - - -

+ посмотрите такой файл у вас есть? Он вам знаком?

Код:

C:\Users\Max\AppData\Roaming\askme\5minecraft.ru.url

Заархивируйте его в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

**skadi** · 19.03.2014, 15:47

либо другой но с той же локализацией

что-то мне не понятно это...

+ посмотрите такой файл у вас есть? Он вам знаком?
Код: C:\Users\Max\AppData\Roaming\askme\5minecraft.ru.u rl

По этому пути что-то не нахожу, есть вот такое C:\Users\Max\AppData\Roaming\.minecraft\5minecraft .ru.exe.

**regist** · 19.03.2014, 16:19

Выполните скрипт в AVZ

Код:

begin
ClearQuarantine;
 QuarantineFile('C:\Users\Max\AppData\Roaming\askme\5minecraft.ru.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','minecraft-five');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

- Сделайте лог полного сканирования МВАМ.

**skadi** · 19.03.2014, 19:09

лог

- - - Добавлено - - -

я не пойму куда пропадают мои последние сообщения ))

- - - Добавлено - - -

ссылка http ://virusinfo.info/virusdetector/report.php?md5=750D937A11AB91733C868B3AE191BDB3

**regist** · 19.03.2014, 20:19

как и предполагал, вирус всё ещё активен.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
QuarantineFile('C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MMLoadDrvPXDiscrete.exe', 'MBAM: Virus.Neshta');
QuarantineFile('C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe', 'MBAM: Virus.Neshta');
QuarantineFile('C:\Program Files (x86)\Common Files\Acronis\CDRecord\readcd.exe', 'MBAM: Virus.Neshta');
QuarantineFile('C:\Program Files (x86)\Common Files\Java\Java Update\jaureg.exe', 'MBAM: Virus.Neshta');
QuarantineFile('C:\Program Files (x86)\Common Files\microsoft shared\DW\DW20.EXE', 'MBAM: Virus.Neshta');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.

**skadi** · 20.03.2014, 10:06

Скрипт выполнен без ошибок. Карантин закачан (MD5 ffa49431b3edc756bdff6a22c3f78dd5 )
Кстати, вчера, пока ждала ответа, была сделана полная проверка вебом (демо). Найдено 513 угроз, все "нечто". Вылечил он 377. Много из пострадавших ехе-шек из Program files не поддались лечению. На всякий прикладываю отчет.
Продолжаю выполнение инструкций.

- - - Добавлено - - -

Проверку вебовской утилитой проведена, правда только в нормальном режиме. Безопасный режим почему-то не запускается, даже после скрипта АВЗ на эту тему. В общем, угроз он не нашел. Логи сделаны.

**mike 1** · 20.03.2014, 12:34

Найдено 513 угроз, все "нечто". Вылечил он 377. Много из пострадавших ехе-шек из Program files не поддались лечению.

Пока хоть один зараженный файл останется активным проблема не решится. Лечитесь с LiveCD диска лучше воспользоваться дисками Касперского или DrWeb.

**regist** · 20.03.2014, 12:50

1) Лечить из под вашей системы бесполезно, только напрасно теряете и своё и наше время. Лучше всего лечить с Live Cd (либо подключить винчестер к другому компу, но если не будете осторожны, то заразите и его).
2) Обязательно заархивируйте несколько заражённых файлов в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

**skadi** · 20.03.2014, 16:33

Я парочку файлов, которые DrWeb находил как зараженные и не смог вылечить отправила. Файл сохранён как 140320_122746_Desktop_532adec289960.zip MD5 1aeea461e524ac64178d9b98335d9c68
Пошла лечить с Live Cd

**regist** · 20.03.2014, 20:48

Сообщение от skadi

Я парочку файлов, которые DrWeb находил как зараженные и не смог вылечить отправила.

эти файлы чистые, доктор веб на них тоже не ругается. Так что если проблема сохранится, то пришлите несколько заражённых файлов.

**skadi** · 20.03.2014, 21:27

Проверка с помощью DrWeb LiveCd отрицательного результата не дала. Написал, что угроз не обнаружено, правда при этом все архивы и образы дисков выдал в список файлов, которые невозможно проверить. Это почему так? Появилось желание их все вычистить с компа )))
Лечение реестра тоже запускала.
В общем, то ли проблема каким-то образом решилась, либо вирус ну такой хитрый... Можно спокойно жить дальше что ли? ))

**regist** · 20.03.2014, 22:02

Лог MBAM снова сделайте.

**skadi** · 21.03.2014, 08:02

Лог MBAM сделан. Посмотрев на список, пришла к выводу, что все-таки надо потратить н-ное время, чтобы после многочисленных пользователей (в т.ч. детей) вычистить комп от всякого хлама....