Показано с 1 по 13 из 13.

Файл svchost заражен (заявка № 60816)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26

    Question Файл svchost заражен

    Здраствуйте.
    Вчера я проверял свой комп Касперским Virus Removal Tool.
    Нашло много вирусов, все вылечил или удалил, но вот файл svchost.exe (c:\windows\system\svchost.exe) заражен вирусом Packed.Win32.Katusha.i. Файл нелечится, а удалять боюсь, вдруг комп потом работать откажется. Подскажите, что с ним делать?
    Спасибо.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:41.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26
    Ладно, щас прикреплю логи.
    Но у меня всего два вопроса: Отразится ли удаление или перемещение этого файла на работе системы? Что мне с ним днлать?

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Пофиксите в HiJack
    Код:
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nxxd.pio jgtgk
    O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spooIsv.exe
    O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [NTFS_ext_drv] \\?\globalroot\systemroot\system32\ntfs_ext7.exe
    O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
    O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv681258717982.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
    O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
    O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
    O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\Администратор\photo_id.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe
    O4 - Startup: sysupd32.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('wsctf.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
     QuarantineFile('C:\WINDOWS\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\spooIsv.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe','');
     QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
     QuarantineFile('C:\WINDOWS\aekgoprn.sys','');
     QuarantineFile('C:\WINDOWS\system32\nxxd.pio','');
     TerminateProcessByName('c:\windows\temp\wpv681258717982.exe');
     QuarantineFile('c:\windows\temp\wpv681258717982.exe','');
     TerminateProcessByName('c:\windows\system32\photo_id.exe');
     QuarantineFile('c:\windows\system32\photo_id.exe','');
     DeleteFile('c:\windows\system32\photo_id.exe');
     DeleteFile('c:\windows\temp\wpv681258717982.exe');
     DeleteFile('C:\WINDOWS\aekgoprn.sys');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sysupd32.exe');
     DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Antivirus Pro 2010');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N31P');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
     DeleteFile('C:\WINDOWS\system32\chknt32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('C:\WINDOWS\system32\spooIsv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Spooler SubSystem App');
     DeleteFile('C:\WINDOWS\system\svchost.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
     DeleteFile('C:\WINDOWS\system32\nxxd.pio');
     DeleteFile('wsctf.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe');
    DeleteFileMask('C:\Program Files\AntivirusPro_2010', '*.*', true);
    DeleteDirectory('C:\Program Files\AntivirusPro_2010');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Последний раз редактировалось thyrex; 21.11.2009 в 14:57.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26
    В скрипте для AVZ ошибка: ')' expected в позиции 44:37 .
    Немогли бы Вы исправить и написать новый без ошибки.
    Спасибо.

    З.Ы. После профиксивания в ХайДжек и перезагрузки компа вылезла ошибка в winlogon.exe и появился синий экран с белыми буквами, да и буквы какие-то иероглифы. Меня чуть кандратой не хватил При следующей загрузке системы все стало нормально.

    Добавлено через 1 минуту

    А, ошибки нет, это из-за переноса строки. Извиняюсь.
    Последний раз редактировалось D-Run; 21.11.2009 в 14:13. Причина: Добавлено

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от D-Run Посмотреть сообщение
    ошибки нет, это из-за переноса строки.
    Да, это моя ошибочка. Хорошо, что Вы сами сориентировались
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26
    Вот новые логи, помоему проблемма осталась.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:41.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Запустите w4vt8c1m.exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    w4vt8c1m.exe -del service cxgkzuk
    w4vt8c1m.exe -del file "C:\WINDOWS\system32\mketrq.dll''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "KLM\SYSTEM\ControlSet008\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\cxgkzuk''
    w4vt8c1m.exe -reboot
    Сделайте новый лог gmer.

  9. #8
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26
    Все сделал. Кажется проблеммы нет! Спс.

    Лог Gmer выложил.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:40.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится w4vt8c1m.exe (gmer)
    Код:
    w4vt8c1m.exe -del file "C:\WINDOWS\system32\mketrq.dll"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\cxgkzuk"
    w4vt8c1m.exe -reboot
    И запустите cleanup.bat

    На возможные сообщения об ошибках внимание не обращайте

    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26
    Сделал. Логи ниже.
    Только вот после этого перестал работать DVD-привод(открывается-закрывается, но в Мой компьютер не отображается, и диски не читает). Незнаете как вернуть дисковод.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:40.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    В логе чисто.

    В BIOS привод определяется?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    26
    В BIOS'e отображается кажется. Ну я в этом не очень, поэтому выложу фотки.

    Вот главная страница биоса
    http://upwap.ru/644141

    Это после того как я нажал "Standart CMOS Features"
    http://upwap.ru/644146


    А это я нажал на "ATAPI DVD A....."
    http://upwap.ru/644149

    Ну как? Что дальше делать?

    Добавлено через 51 секунду

    Извиняюсь за ссылки... Это файлообменник
    Последний раз редактировалось D-Run; 24.11.2009 в 13:34. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\sysupd32.exe - Trojan.Win32.Obfuscated.aisb ( DrWEB: Trojan.Siggen.23270, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system\svchost.exe - Packed.Win32.Katusha.i ( DrWEB: Trojan.DownLoad.50076, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\windows\system32\chknt32.exe - Trojan-Downloader.Win32.Agent.cvkd ( DrWEB: Trojan.PWS.Webmonier.178 )
      4. c:\windows\system32\nxxd.pio - Backdoor.Win32.Bredavi.azz ( DrWEB: BackDoor.Vbom.5, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Trojan-gen )
      5. c:\windows\system32\photo_id.exe - Backdoor.Win32.HareBot.akj ( DrWEB: Trojan.DownLoad.41506, NOD32: Win32/Wigon.LX trojan )
      6. c:\windows\temp\wpv681258717982.exe - Trojan-Proxy.Win32.Small.ael


  • Уважаемый(ая) D-Run, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Заражен файл svchost.exe
      От bob66 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.02.2012, 12:26
    2. Ответов: 2
      Последнее сообщение: 07.10.2009, 23:12
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:49
    4. Ответов: 7
      Последнее сообщение: 05.03.2007, 10:26
    5. Заражен ли этот файл?
      От grey_horse в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 12.11.2006, 12:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01514 seconds with 21 queries