Показано с 1 по 17 из 17.

svhost.exe-опасно,маскировка исполняемого файла (заявка № 76086)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33

    Exclamation svhost.exe-опасно,маскировка исполняемого файла

    svhost.exe ломится на разные адреса, avz сообщает:
    svhost.exe-опасно!маскировка исполняемого файла
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    .Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys','');
      DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\WINDOWS\system32\AccelerometerSt.Exe','');
     QuarantineFile('C:\Program Files\CPUID\PC Wizard 2010\pcwiz32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys','');
     DeleteService('cpuz129');
     DeleteService('protect');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
     DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
     DeleteService('FCI');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     BC_DeleteSvc('FCI');
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    сделал
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
     QuarantineFile('c:\windows\explorer.exe:userini.exe','');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Пофиксите Hijackthis
    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
    Закачайте полученный карантин по красной ссылке вверху. Повторите логи
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    повторил
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин закачайте, логи повторите
    The Truth is Out There

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    + к vegas

    Пуск - Выполнить - sc delete FCI

  9. #8
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    выполнил
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
    2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
    Обратите внимание на отчёт после завершения закачки:
    Размер закачанного файла
    MD5 закачанного файла
    Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
    The Truth is Out There

  11. #10
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    Файл сохранён как 100414_152148_virusinfo_files_TOT2_4bc5a54c27b59.z ip
    Размер файла 7323932
    MD5 d351a4c14a9ca345b2b7b1a7d80a2918

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Логи АВЗ повторите плюс сделайте лог МВАМ (см. в моей подписи)
    The Truth is Out There

  13. #12
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    по логам файервола при включении интернета с:\windows\system32\svhost.exe
    ломится на hjwbxhqr.cn (193.46.211.57)
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys','');
     QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys','');
     DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
     DeleteService('cpuz129');
     QuarantineFile('C:\Program Files\WinRAR\Unipatch.exe','');
     QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
     QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteFile('C:\WINDOWS\services.exe');
     BC_ImportAll;
     ExecuteSysClean;BC_DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys'); 
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\ADMIN\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    Добавлено через 51 секунду

    - Удалите Bonjour
    Последний раз редактировалось polword; 14.04.2010 в 17:55. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    по логам файервола при включении интернета с:\windows\system32\svhost.exe
    продожает ломится на hjwbxhqr.cn (193.46.211.57)
    Вложения Вложения
    Последний раз редактировалось alex2177; 14.04.2010 в 19:57.

  16. #15
    Junior Member Репутация
    Регистрация
    01.12.2007
    Сообщений
    44
    Вес репутации
    33
    по логам файервола при включении интернета с:\windows\system32\svhost.exe
    продожает ломится на hjwbxhqr.cn (193.46.211.57)

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     SetAVZPMStatus(True);
     RebootWindows(true);
    end.
    Закачайте полученный карантин по красной ссылке вверху. Повторите лог AVZ, сделайте лог Gmer (см. в моей подписи)
    The Truth is Out There

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 96
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\explorer.exe:userini.exe - Trojan-Dropper.Win32.Agent.bvvw ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\svchost.exe:ext.exe - Trojan.Win32.Agent.droc ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
      3. c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.droc ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
      4. c:\windows\system32\userini.exe - Trojan-Dropper.Win32.Agent.bvvw ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )
      5. c:\windows\system32\wbem\grpconv.exe - Email-Worm.Win32.Joleee.erq ( BitDefender: Trojan.Generic.KD.6681, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) alex2177, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 11.08.2011, 14:04
    2. Ответов: 7
      Последнее сообщение: 23.11.2010, 19:00
    3. >> Опасно ! Обнаружена маскировка процессов
      От Allasstor в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 13.08.2010, 11:59
    4. Ответов: 2
      Последнее сообщение: 08.03.2010, 01:03
    5. Ответов: 4
      Последнее сообщение: 15.01.2010, 15:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00238 seconds with 22 queries