Показано с 1 по 8 из 8.

подозрительный svchost.exe [not-a-virus:RiskTool.Win32.AlwaysUp, Trojan.Win32.Fsysna.aklw ] (заявка № 166680)

  1. #1
    Junior Member Репутация
    Регистрация
    09.08.2009
    Сообщений
    10
    Вес репутации
    54

    подозрительный svchost.exe [not-a-virus:RiskTool.Win32.AlwaysUp, Trojan.Win32.Fsysna.aklw ]

    подозрение на троян.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) dlelikov, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    09.08.2009
    Сообщений
    10
    Вес репутации
    54
    ЛОГИ СДЕЛАНЫ ИЗ КОНСОЛИ
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
     TerminateProcessByName('c:\windows\system32\microsoft\svchost.exe');
     TerminateProcessByName('c:\windows\ehome\svchost.exe');
     QuarantineFile('C:\WINDOW5\system32\safesurf.exe','');
    QuarantineFile('c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe','');
     QuarantineFile('c:\windows\ehome\wmisrv.exe','');
     QuarantineFile('c:\windows\system32\microsoft\svchost.exe','');
     QuarantineFile('c:\windows\ehome\svchost.exe','');
    DeleteFile('c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe', '32');
     DeleteFile('C:\WINDOW5\system32\safesurf.exe');
     DeleteFile('c:\windows\ehome\svchost.exe','32');
     DeleteFile('c:\windows\system32\microsoft\svchost.exe','32');
     DeleteFile('c:\windows\ehome\wmisrv.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Admin','command');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Desktop_Locker_456');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\user1','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SJ^','command');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузите сервер вручную.

    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    Можно из терминального режима.
    Последний раз редактировалось mike 1; 29.09.2014 в 17:58. Причина: Убрана команда DeleteFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe','32');
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.08.2009
    Сообщений
    10
    Вес репутации
    54
    Образ автозапуска
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    ; C:\DOCUMENTS AND SETTINGS\USER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 24 Trojan.Win32.Fsysna.aklw [Kaspersky]
    
    ; C:\DOCUMENTS AND SETTINGS\USER2\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER3\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\ADM\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\ADMO\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER6\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\ASP.NET\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER1.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER2.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER3.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER4.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\DOCUMENTS AND SETTINGS\ROXAN\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
    ; C:\PROGRAM FILES\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE
    ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\CHECKERBLOCKMAIL.EXE
    ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROGGRAMS\ALL-IN-ONE CHECKER.EXE
    ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\ALL-IN-ONE CHECKER231\ALL-IN-ONE CHECKER231.EXE
    ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\MAILRUCHCKR_3\MAILRUCHECKER_14.EXE
    ; C:\PROGRAM FILES\ACD SYSTEMS\PLUGINS\PLUGIN\COPY\WJDCHECKM.EXE
    addsgn A7679B19919AF4F6BA98AE591468E1FA8426C9BB89711F90C5EB3F43F17A4401239CC3E53FBDF30CD17F2533735B49717D65847C18DA58110F8D5BA4CAD2143E 24 Win32/HackTool.BruteForce.IE [ESET-NOD3
    
    ; C:\WINDOWS\SYSTEM32\COPY\COPY\WJDCHECKM.EXE
    ; C:\WINDOWS\SYSTEM32\COPY\COPY2\WJDCHECKM.EXE
    ; C:\WINDOWS\SYSTEM32\COPY\COPY3\WJDCHECKM.EXE
    ; C:\WINDOWS\SYSTEM32\COPY\COPY4\WJDCHECKM.EXE
    ; C:\WINDOWS\SYSTEM32\COPY\COPY5\WJDCHECKM.EXE
    ; C:\WINDOWS\SYSTEM32\COPY\1\SHELLSCHECKER.EXE
    hide %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLSAC.EXE
    hide %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLWTSN.EXE
    hide %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V4.0.30319\SMSVCHOST.EXE
    hide %SystemRoot%\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WPF\PRESENTATIONFONTCACHE.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\215.123.20.155.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\215.123.20.155.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\КРЯК.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\КРЯК.EXE
    zoo %Sys32%\SVCHОST.EXE
    delall %Sys32%\SVCHОST.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER3.SERVER1\LOCAL SETTINGS\TEMP\1\WIUPDAT.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER3.SERVER1\LOCAL SETTINGS\TEMP\1\WIUPDAT.EXE
    chklst
    delvir
    
    zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\AMSSCHED.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER6\DESKTOP\DUBRUTE_2.1 НА ДЕДАХ\DUBRUTE.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER6\DESKTOP\DUBRUTE_2.1 НА ДЕДАХ\DUBRUTE.EXE
    zoo D:\FASTOPERATOR\USER1\FASTOPERATOR.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\INSTALL.CMD
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\INSTALL.CMD
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\MMCHECKER.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROJECT1.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROJECT1.EXE
    zoo %SystemRoot%\SYSTEM\SOUND.EXE
    delall %SystemRoot%\SYSTEM\SOUND.EXE
    zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\MAILPROCESSOR.EXE
    zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\MASSSENDER.EXE
    delref %SystemDrive%\RECYCLER\S-1-5-21-664997554-594091240-2026364968-1920\CSRSS.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\.EXE
    delref E:\IZUVAS\IZCIPICA.EXE
    delref G:\IZUVAS\IZCIPICA.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MAIL.RU\AGENT\MAGENT.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ADMIN.EXE
    delref %SystemDrive%\DOCUME~1\ADM\LOCALS~1\TEMP\1\MSDCSC\MSDCSC.EXE
    czoo
    Перезагрузите сервер.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый полный образ автозапуска uVS.

    Обратите внимание на файлы и ярлыки в профилях учётных записей ADM и ADMIN1, похоже, хакеры порезвились.

    Замените пароли администраторов и учёток, имеющих удалённый доступ к серверу по RDP.
    Удалите неизвестные и неиспользуемые учётные записи.
    У кого права администратора были не по делу - понизить до обычного пользователя.

    MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Установите все обновления безопасности на систему - начиная с SP2 и IE 8 (обязательно!) и все последующие хотя бы критические и важные обновления. Контролировать таким скриптом в AVZ (запускать при наличии доступа в интернет):
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\application data\microsoft\svchost.exe - Trojan.Win32.Fsysna.aklw ( BitDefender: Backdoor.Generic.920753, AVAST4: Win32:Malware-gen )
      2. c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe - not-a-virus:RiskTool.Win32.AlwaysUp
      3. c:\windows\ehome\svchost.exe - not-a-virus:RiskTool.Win32.AlwaysUp
      4. c:\windows\system32\microsoft\svchost.exe - Trojan.Win32.Fsysna.aklw ( BitDefender: Backdoor.Generic.920753, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) dlelikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительный трафик svchost.exe
      От Andrey_M в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 26.09.2011, 23:31
    2. Подозрительный с эксплорер и svchost.exe
      От BuTb в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.07.2011, 18:05
    3. Подозрительный svchost.exe в system32
      От GpNt в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.02.2011, 23:29
    4. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    5. Подозрительный процесс C:\WINDOWS\svchost.exe
      От dangerx в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 07:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00235 seconds with 20 queries