svchost.com внезапно стал просить внести изменения
Здравствуйте! Возникли сомнения по поводу процесса svchost.com, что это файловый вирус. Расположен в C:\Windows\svchost.com. При запуске любого приложения выходит окно Контроль учетных записей пользователей (Windows7), чтобы под правами администратора разрешить внести изменения этой программе. Соответственно без разрешения ни одно приложение не запускается, в том числе и Dr.Web CureIt!, а нажать Да рука не поднимается, т.к. не понятно с чего вдруг это началось. Как поступить в такой ситуации, чтобы сделать логи? Компьютер не выходит в безопасный режим, только дает возможность в BIOS выбрать загрузочное устройство.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) skadi, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пока меня не было за компьютером мои домашние умники уже нажали эту пресловутую Да. Ну, зато можно сразу запустить утилиту др.веб. Результат - во всех ехе-шках, и в обновлениях винды, сидел Win32.HLLP.Neshta. Утилита обезвредила их. Теперь нужно логи делать?
Вы заражены файловым вирусом Neshta! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого сделайте и прикрепите новые логи.
После первой проверки ДрВеб провел лечение. После Вашего ответа при повторной проверке с диска вебовская утилита ничего не нашла. Логи сделаны.
Кстати, после лечения при перезагрузке стало появлять некое сообщение (во вложение скрин), а также слетела мозилла фаерфокс (но это не критично).
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
После того как закончится проверка в командной строке введите команду:
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Как выполнить п.1, если у меня нет диска, с которого устанавливали Windows? ...(упс, нашелся образ диска установщика, надеюсь подойдет смонтированный образ диска)
Скрип выполнен, но при загрузке карантина по ссылке вверху пишет - Ошибка загрузке, данный файл уже был загружен.
п.2 и 3 выполнены, написал, что ничего не нарушено. (правда AVZ пришлось скачивать заново, прежний вместо названий закладок и строк имел цифры и проценты)
нужные файлы вложены.
Последний раз редактировалось skadi; 19.03.2014 в 15:40.
begin
ClearQuarantine;
QuarantineFile('C:\Users\Max\AppData\Roaming\askme\5minecraft.ru.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','minecraft-five');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Скрипт выполнен без ошибок. Карантин закачан (MD5 ffa49431b3edc756bdff6a22c3f78dd5 )
Кстати, вчера, пока ждала ответа, была сделана полная проверка вебом (демо). Найдено 513 угроз, все "нечто". Вылечил он 377. Много из пострадавших ехе-шек из Program files не поддались лечению. На всякий прикладываю отчет.
Продолжаю выполнение инструкций.
- - - Добавлено - - -
Проверку вебовской утилитой проведена, правда только в нормальном режиме. Безопасный режим почему-то не запускается, даже после скрипта АВЗ на эту тему. В общем, угроз он не нашел. Логи сделаны.
1) Лечить из под вашей системы бесполезно, только напрасно теряете и своё и наше время. Лучше всего лечить с Live Cd (либо подключить винчестер к другому компу, но если не будете осторожны, то заразите и его).
2) Обязательно заархивируйте несколько заражённых файлов в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Я парочку файлов, которые DrWeb находил как зараженные и не смог вылечить отправила. Файл сохранён как 140320_122746_Desktop_532adec289960.zip MD5 1aeea461e524ac64178d9b98335d9c68
Пошла лечить с Live Cd
Проверка с помощью DrWeb LiveCd отрицательного результата не дала. Написал, что угроз не обнаружено, правда при этом все архивы и образы дисков выдал в список файлов, которые невозможно проверить. Это почему так? Появилось желание их все вычистить с компа )))
Лечение реестра тоже запускала.
В общем, то ли проблема каким-то образом решилась, либо вирус ну такой хитрый... Можно спокойно жить дальше что ли? ))
Последний раз редактировалось skadi; 20.03.2014 в 21:32.
Лог MBAM сделан. Посмотрев на список, пришла к выводу, что все-таки надо потратить н-ное время, чтобы после многочисленных пользователей (в т.ч. детей) вычистить комп от всякого хлама....
Уважаемый(ая) skadi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: