История вопроса.
Несколько дней назад антивирус (аваст) начал каждый день находить вирус ".scr" в С:\Windows\System32 и ещё какую-то заразу в C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 в произвольной папке. Потом они вроде пропали. Но на днях система начала ругаться на процесс svhost.exe и раз в полчаса отрубать от интернета. В папке С:\Windows\System32 мною было обнаружено огромное количество файлов с расширением .scr (00.scr, 01.scr и т.д. числом под сотню). Их удаление ни к чему не приводило, ибо они начинали самовоспроизводиться на глазах. Сортировка по датам создания/изменения файлов показала, что появился новый файл .dll (удалён), обновился wpa.dbl, autoexec.nt и config.nt. Скачал и применил RegRun5. Он фиксировал наличие вируса в C:\Windows\System\svhost.exe, но по-большому счёту ничего в результате своей деятельности не менял. Замена autoexec.nt и config.nt на аналогичные из папки Repair имела половинчатый результат - autoexec.nt не обновляется, а config.nt обновляется при каждом подключении к интернету и опять начинают плодиться scr. Использование AVPTool также диагностировало svhost.exe, но не удалило его. Помогло удаление svhost.exe из папки C:\Windows\System\ вручную - перестали появляться scr, восстановилась работа интернета, только config.nt продолжал обновляться при каждом подключении к сети. AVPTool и CureIt показывали отсутствие вирусов. Так было полтора дня. Но в системе явно что-то происходило. На этом я хотел было закончить написание текста, но во время написания опять попёрлись scr, снова появился C:\Windows\System\svhost.exe и видимо всё начнётся сначала.
P.S. Логи созданы на момент, когда было "всё нормально". Если будет надо - переделаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнен, карантин выслан.
Новые логи.
P.S. По завершении скрипта, при перезагрузке комп подвис, пришлось помочь ресетом. После скрипта svhost.exe исчез и временно стало тихо. Сейчас всё возобновилось.
Поставил SP3.
Система вроде работает нормально. Но что-то там происходит, config.nt продолжает обновляться, на пару с ним теперь обновляется ativvaxx.cap (может, это так и должно быть, я не знаю).
Новые логи.
P.S. После установки SP2 прогнал на вирусы AVPTool'ом, он нашёл трояны в svchost.exe во всех скачанных (с Windows Update!!!) папках, после удаления которых винда чуть не умерла - отключились все драйвера материнки и вообще наступил маразм. SP3 всё поправил.
Были да сплыли.
Видели в Вашем скрипте строки?
DeleteFile('c:\windows\system\svhost.exe');
DeleteFile('C:\WINDOWS\system\svhost.exe');
Перевод слова delete знаете? Вот то-то и оно.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: