Показано с 1 по 6 из 6.

Вирус из под svchost.exe (заявка № 23389)

  1. #1
    Junior Member Репутация
    Регистрация
    25.05.2008
    Сообщений
    3
    Вес репутации
    32

    Thumbs up Вирус из под svchost.exe

    Какой то вирус, как я подключаюсь к интернету, качает себе подобных . В результате чего:
    1. не всегда но часто вылезает окошко антивира о том что в временых файлах вирус.
    2. Всегда вылезает окошко : svchost.exe - инструкция по адресу 0x13154535 обратилась к памяти по адресу 0x00000000. (если закрыть не закрывается).

    При этов в оутпосте (в режиме выключен):
    Код
    15:54:04 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
    15:54:02 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
    15:53:43 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
    15:53:01 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
    15:52:39 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
    15:52:19 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
    15:51:15 Недоступно ВХОД UDP 217.114.159.91 4998 Режим бездействия
    15:50:18 NETBIOS ИСХ UDP 216.195.58.13 NETBIOS_NS Режим бездействия
    15:50:18 Недоступно ВХОД ICMP 216.195.58.13 Получатель недоступен/3 Режим бездействия
    15:50:07 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
    15:48:18 svchost.exe ИСХ TCP mail7.digitalwaves.co.nz SMTP Режим бездействия
    15:48:16 svchost.exe ИСХ TCP 66.111.4.75 SMTP Режим бездействия
    15:48:16 svchost.exe ИСХ UDP 192.203.230.10 DNS Режим бездействия
    15:48:16 svchost.exe ИСХ TCP gsmtp183.google.com SMTP Режим бездействия
    15:48:16 svchost.exe ИСХ UDP 128.8.10.90 DNS Режим бездействия
    15:48:16 svchost.exe ИСХ TCP gmail-smtp-in.l.google.com SMTP Режим бездействия
    15:48:16 svchost.exe ИСХ TCP mxs.mail.ru SMTP Режим бездействия
    15:48:16 svchost.exe ИСХ TCP 216.195.58.13 2513 Режим бездействия
    15:48:16 svchost.exe ИСХ UDP 193.0.14.129 DNS Режим бездействия
    15:48:01 Недоступно ВХОД TCP 193.138.232.17 38898 Режим бездействия
    15:47:39 Недоступно ВХОД UDP 92.101.29.130 1676 Режим бездействия
    15:44:59 NETBIOS ВХОД UDP 192.168.87.77 NETBIOS_DGM Режим бездействия
    15:44:55 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
    15:44:55 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия


    + svchost.exe открывает постепенно порты. Когда заметил было 900портов ((, когда пишу это сообщение 2000портов (где то через 10 мин)
    До появления вируса, в системе был антивир - аваст, и оутпост (тока я его всегда выключал, т.к. комп слишком слабый - лагает).
    Впервые заметил:
    В процессах висел интернет эксплоуер. НЕсколько раз проверив на вирусы, удалил ослика >_<.
    Немного пошарив в процессех нашел один процес под именем svchost.exe - но был ваще левый файл. Проверил через инет , был какой то вирус (описания не нашел), удалил (причем аваст его не находил - ни мой, ни на _http://virusscan.jotti.org/).

    После этого Начала вылезать ошибка, о которой говоиться в первом посте.

    Сейчас стоит НОД 3 с файерволом. Немного поколдовав с файерволом. Сейчас сижу в инете спокойно.
    Делал проверку нодом - не че не нашел.
    Устанавливал Anti Trojan Elite , SpywareTerminator - тоже без результатов.

    "что делать???"

    з.ы. надеюсь не слишком много написал???
    Вложения Вложения
    Последний раз редактировалось Shu_b; 26.05.2008 в 09:17.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    25.05.2008
    Сообщений
    3
    Вес репутации
    32
    _http://virusinfo.info/showthread.php?t=22173
    сдаеться мне что у меня такая же проблема. Что скажут админы?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    virusinfo_cure.zip - карантин, удалите его, он здесь не нужен. В правилах написано virusinfo_syscure.zip

    Отключите антивирус.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinNt32.dll','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Yfk84.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Ekq27.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cv2k1.sys','');
     QuarantineFile('wscsvcBrowser.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\wscsvcBrowser.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS.0\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS.0\system32\DRIVERS\cv2k1.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Ekq27.sys');
     DeleteFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Yfk84.sys');
     DeleteFile('WinNt32.dll');
     DelWinlogonNotifyByKeyName('WinNt32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Yfk84');
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('CV2K1');
    BC_DeleteSvc('Ekq27');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23389 ).

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    25.05.2008
    Сообщений
    3
    Вес репутации
    32
    Скрипт сделал в безопастном режиме. (в обычном че то ошибку выдавал.)

    В карантине выбрал все файлы и отослал.

    При включении инета без файервола, вроде все норм кроме:
    svchost.exe ИСХ UDP 217.14.192.170 DNS (скачивает с инета 4 килобайта )

    virusinfo_syscure.zip немогу найти есть только virusinfo_cure.zip
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах чисто.
    I am not young enough to know everything...

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,509
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows.0\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.yq (DrWEB: BackDoor.Bulknet.203)


  • Уважаемый(ая) AnT0xA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 22
      Последнее сообщение: 19.05.2012, 15:40
    2. вирус в svchost.exe
      От igor2999 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.12.2010, 17:12
    3. вирус в svchost.exe
      От Pendal в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.07.2010, 16:38
    4. Вирус в svchost
      От konsul2008 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.10.2009, 00:42
    5. svchost.exe вирус?
      От Spiritrus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.11.2008, 12:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00680 seconds with 22 queries