Показано с 1 по 13 из 13.

svchost, трояны и прочие прелести (заявка № 61116)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53

    Exclamation svchost, трояны и прочие прелести

    работаю так, что часто приходится засовывать к себе чужие флешки. картина болезни: появляются левые службы, бывают косят под стандартные, бывает внаглюу на китайском и в досовской кодировке какая-то ересь. удаляю - появляются. экзешнички плодятся в системных папках... а вообще по-разному бывает и всё время что-то новенькое я себе так подозреваю, что svchost подкачивает новых троянчиков и возможно сливает что-то, ибо бывало что канал засорял на 100%. долго мучился сам, ничего не родил. после переустановки (с полной проверки последним кав-ом (из лайв-дистрибутива) виндовс без явных признаков заражения продержался 2 дня. антитвари пробовал всевозможные. лучше всех filesclab twister но таки "недосправляется"...

    ежели чего не так - сори, первый раз. ну и классическое: помогите пожалуйста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\did\lsass.exe');
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\183954.exe');
     StopService('360°ІИ«дЇААЖч');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','ylzmx');
     QuarantineFile('C:\WINDOWS\system32\tguhs.dll','');
     QuarantineFile('c:\windows\system32\julapan.exe','');
     QuarantineFile('C:\WINDOWS\System32\igmpv2.dll','');
     QuarantineFile('c:\windows\system32\did\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\360IEІ№¶ЎЙэј¶.exe','');
     QuarantineFile('C:\PROGRA~1\IESuper\iesuper.dll','');
     QuarantineFile('c:\docume~1\alluse~1\drm\hvhfa.dll','');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\183954.exe','');
     DeleteService('360°ІИ«дЇААЖч');
     DeleteFile('C:\WINDOWS\system32\tguhs.dll');
     DeleteFile('c:\windows\system32\did\lsass.exe');
     DeleteFile('C:\WINDOWS\system32\360IEІ№¶ЎЙэј¶.exe');
     DeleteFile('c:\docume~1\admin\locals~1\temp\183954.exe');
     DeleteFileMask('c:\docume~1\admin\locals~1\temp\','*.*',true);
     DeleteFileMask('c:\windows\system32\did','*.*',true);
     DeleteDirectory('c:\windows\system32\did');
     DelCLSID('{874cce0f-0fc4-5419-5419-10d55798c5d4}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('360°ІИ«дЇААЖч');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Пролечитесь от возможных файловых вирусов: http://virusinfo.info/showthread.php?t=15927. (Live CD)
    - Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
    - Сделайте лог полного сканирования MBAM.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53
    скрипт выполнил. результат: службы новенькие появились...
    карантин залил.
    качаю образ свежего докторвеба, буду проверяться. мбам - в процессе

    добавлено: а еще левых процессов наплодилось, трафик весь жрут...

  5. #4
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53
    полечился вебом через лайвСиди, пролечился мбам-ом... можно сказать - безрезультатно, главный зловред остался, пофиксились только последствия...

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LYROLU7\1[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LYROLU7\1[1].exe');
    QuarantineFile('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\0OAHP47X\pt001[1].exe','');
    DeleteFile('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\0OAHP47X\pt001[1].exe');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\DRM\gfctu.dll','');
     QuarantineFile('C:\WINDOWS\Atidvd4.exe','');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\DRM\gfctu.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\eotidi\Parameters','ServiceDll');
    DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    DeleteFileMask('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Удалите в МВАМ
    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\CLSID\{1a49f431-2a2e-41a5-9080-0f41d1a3aec1} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1a49f431-2a2e-41a5-9080-0f41d1a3aec2} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a49f431-2a2e-41a5-9080-0f41d1a3aec2} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1a49f431-2a2e-41a5-9080-0f41d1a3aec2} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\contentmatch (Trojan.Cinmus) -> No action taken.
    
    Заражено файлов:
    C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\0OAHP47X\pt001[1].exe (Trojan.Downloader) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LYROLU7\1[1].exe (Backdoor.PcClient) -> No action taken.
    C:\Program Files\Common Files\PushWare\Uninst.exe (Trojan.Cinmus) -> No action taken.
    C:\WINDOWS\system32\mgudmkib.dat (Trojan.Wansrog) -> No action taken.
    C:\WINDOWS\system32\jedcvbmb.dat (Trojan.Wansrog) -> No action taken.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53
    прошенное:

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\spfsq.exe','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53
    карантин прицепил.
    буквально только что касперский"09 соихволил обратить внимание на происходящий беспредел
    поставлю сегодня на нчь на полную проверку, завтра логи выкину...

    добавлено: еще один...
    я так понимаю, имеем дело с неуловимым даунлодером?
    Последний раз редактировалось n4cer; 26.11.2009 в 18:19.

  10. #9
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53
    Код:
    26.11.2009 22:45:59	C:\WINDOWS\SYSTEM32\eq	Неизвестное приложение	Не вылечено: Trojan-Downloader.BAT.Ftp.ab	Пропущено пользователем	
    26.11.2009 21:04:50	C:\WINDOWS\SYSTEM32\eq	Программа передачи файлов (FTP)	Обнаружено: Trojan-Downloader.BAT.Ftp.ab		
    26.11.2009 17:38:08	Файловый Антивирус	Антивирус Касперского	Задача запущена		
    26.11.2009 17:34:12	C:\WINDOWS\TEMP\k.exe	43.EXE	Удалено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:34:08	C:\WINDOWS\TEMP\k.exe	43.EXE	Обнаружено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:32:50	C:\WINDOWS\TEMP\k.exe	43.EXE	Удалено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:32:44	C:\WINDOWS\TEMP\k.exe	43.EXE	Обнаружено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:17:59	C:\WINDOWS\TEMP\k.exe	43.EXE	Удалено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:17:43	C:\WINDOWS\TEMP\k.exe	43.EXE	Обнаружено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:07:45	Файловый Антивирус	Антивирус Касперского	Задача запущена		
    26.11.2009 17:02:44	C:\WINDOWS\TEMP\k.exe	43.EXE	Удалено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:02:40	C:\WINDOWS\TEMP\k.exe	43.EXE	Обнаружено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:00:08	C:\WINDOWS\TEMP\k.exe	43.EXE	Удалено: Trojan.Win32.Scar.apjo		
    26.11.2009 17:00:05	C:\WINDOWS\TEMP\k.exe	43.EXE	Обнаружено: Trojan.Win32.Scar.apjo		
    26.11.2009 16:56:38	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	Generic Host Process for Win32 Services	Удалено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:36	HKLM\System\ControlSet001\Services\venkym\Parameters\ServiceDll	Generic Host Process for Win32 Services	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:34	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	Generic Host Process for Win32 Services	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:32	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	TCPSER6.EXE	Удалено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:31	HKLM\System\ControlSet001\Services\wmdmpmsp\Parameters\ServiceDll	TCPSER6.EXE	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:27	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	TCPSER6.EXE	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:18	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	Generic Host Process for Win32 Services	Невозможно удалить: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:15	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	TCPSER6.EXE	Удалено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:13	HKLM\System\ControlSet001\Services\nwcworkstation\Parameters\ServiceDll	TCPSER6.EXE	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:56:04	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	TCPSER6.EXE	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:55:45	C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll	Generic Host Process for Win32 Services	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 16:06:49	Файловый Антивирус	Антивирус Касперского	Задача запущена		
    26.11.2009 15:55:14	Файловый Антивирус	Антивирус Касперского	Задача запущена		
    26.11.2009 15:44:45	Файловый Антивирус	Антивирус Касперского	Задача запущена		
    26.11.2009 14:04:28	Файловый Антивирус	Антивирус Касперского	Задача запущена		
    26.11.2009 13:44:37	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Невозможно удалить: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:34	HKLM\System\ControlSet001\Services\idbvtg\Parameters\ServiceDll	Generic Host Process for Win32 Services	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:31	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:23	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Удалено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:21	HKLM\System\ControlSet001\Services\wmdmpmsp\Parameters\ServiceDll	Generic Host Process for Win32 Services	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:18	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:14	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Удалено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:12	HKLM\System\ControlSet001\Services\nwcworkstation\Parameters\ServiceDll	Generic Host Process for Win32 Services	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:44:06	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:43:54	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Невозможно удалить: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:43:52	HKLM\System\ControlSet001\Services\ias\Parameters\ServiceDll	Generic Host Process for Win32 Services	Вылечено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:43:47	C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll	Generic Host Process for Win32 Services	Обнаружено: Trojan-PSW.Win32.Bjlog.dqw		
    26.11.2009 13:43:47	C:\WINDOWS\SYSTEM32\SETUPLB.EXE	A tool to aid in developing services for WindowsNT	Удалено: Trojan.Win32.Scar.aknh		
    26.11.2009 13:43:39	C:\WINDOWS\SYSTEM32\SETUPLB.EXE	A tool to aid in developing services for WindowsNT	Обнаружено: Trojan.Win32.Scar.aknh		
    26.11.2009 9:03:50	Файловый Антивирус	Антивирус Касперского	Задача запущена
    Добавлено через 5 часов 16 минут

    трояны всё еще размножаются с дивным упорством. киберхелпер ничего нового не насоветовал?
    Последний раз редактировалось n4cer; 27.11.2009 в 19:08. Причина: Добавлено

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('7hacker');
     DeleteFile('C:\WINDOWS\system32\spfsq.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    7
    Вес репутации
    53
    сегодня появился tsinternetuser... (новый юзер с админскими правами)

    логи:
    Последний раз редактировалось Rene-gad; 29.11.2009 в 20:11.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\zklznv.dll','');
     DeleteFile('C:\WINDOWS\System32\zklznv.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\zklznv\Parameters','ServiceDll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\admin\locals~1\temp\183954.exe - Trojan.Win32.Agent.dcpc ( BitDefender: DeepScan:Generic.Malware.P!Pk!.1651ABE5 )
      2. c:\docume~1\alluse~1\drm\hvhfa.dll - Backdoor.Win32.Agent.andj ( DrWEB: BackDoor.Siggen.3787, BitDefender: Backdoor.Generic.228493 )
      3. c:\windows\system32\did\lsass.exe - Trojan-Downloader.Win32.Agent.cvux
      4. c:\windows\system32\spfsq.exe - Trojan-Downloader.Win32.Small.kic ( BitDefender: Trojan.Crypt.EL, AVAST4: Win32:Rincux-C [Trj] )


  • Уважаемый(ая) n4cer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost.exe- грузит ЦП, интернет, вирус, трояны.
      От -БЕРКУТ- в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 15.07.2010, 00:24
    2. Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe
      От Geonov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.09.2009, 18:51
    3. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 06:47
    5. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00970 seconds with 17 queries