-
Junior Member
- Вес репутации
- 58
Помогите найти что скрывает svchost.exe
Система WinXP Pro, накатаны все патчи
При подключении ее к локалке ложится инет-шлюз (winroute)
Стал проверять - генерит массу коннектов к нему. Толком проверить не могу, т.к. шлюз нужен, а при подключении этой системы он ложится и практически ни на что не реагирует
GMER пишет C:\windows\system32\svchost.exe (hidden)
при этом когда открываешь папку system32 в проводнике файлы постоянно "колбасит" (дергаются на экране -)
также есть файл c:\windows\system32\mssrv32.exe, который нельзя даже скопировать. Когда убиваю скрытый процесс - файло копируется спокойно. Прогнал через virustotal
Microsoft 1.3704 2008.07.09 TrojanDownloader:Win32/Chksyn.gen!ASymantec 10 2008.07.09 XPAntivirus
Все остальные антивири молчат. Может это файло и не вирус совсем, не знаю.
Во вложении - логи от AVZ
virusinfo_syscheck.zip
Подскажите, что за зараза и как убить -)
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 58
Прошу прощения, сейчас сделаю.
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось V_Bond; 09.07.2008 в 17:16.
Причина: зловред в теме ...
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
BC_DeleteSvc('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Спасибо, помогло
Прогнал сегодня файл
Файл mssrv32.zip получен 2008.07.10 14:43:39 (CET)
Антивирус Версия Обновление Результат
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 -
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 -
eSafe 7.0.17.0 2008.07.09 -
eTrust-Vet 31.6.5942 2008.07.10 -
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.10 -
Ikarus T3.1.1.26.0 2008.07.10 -
Kaspersky 7.0.0.125 2008.07.10 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 TrojanDownloader:Win32/Chksyn.gen!A
NOD32v2 3257 2008.07.10 -
Norman 5.80.02 2008.07.10 -
Panda 9.0.0.4 2008.07.09 -
Prevx1 V2 2008.07.10 -
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 XPAntivirus
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 -
VBA32 3.12.6.9 2008.07.10 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.10 -
Грустно -(
-
Какой файл прогнали?Повторите логи...
-
-
Junior Member
- Вес репутации
- 58
файл c:\windows\system32\mssrv32.exe
я его перед лечением вытянул с компа и сохранил
сейчас прогнать заново AVZ не могу - комп недоступен