svhost.exe ломится на разные адреса, avz сообщает:
svhost.exe-опасно!маскировка исполняемого файла
svhost.exe ломится на разные адреса, avz сообщает:
svhost.exe-опасно!маскировка исполняемого файла
.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('c:\WINDOWS\system32\AccelerometerSt.Exe',''); QuarantineFile('C:\Program Files\CPUID\PC Wizard 2010\pcwiz32.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys',''); DeleteService('cpuz129'); DeleteService('protect'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys'); DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteService('FCI'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; BC_DeleteSvc('FCI'); RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
сделал
Выполните скрипт
Пофиксите HijackthisКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\explorer.exe:userini.exe'); QuarantineFile('c:\windows\explorer.exe:userini.exe',''); DeleteFile('c:\windows\explorer.exe:userini.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Закачайте полученный карантин по красной ссылке вверху. Повторите логиКод:O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
The Truth is Out There
повторил
Выполните скрипт
Карантин закачайте, логи повторитеКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); DeleteFile('C:\WINDOWS\system32\userini.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
The Truth is Out There
+ к vegas
Пуск - Выполнить - sc delete FCI
выполнил
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
Обратите внимание на отчёт после завершения закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
The Truth is Out There
Файл сохранён как 100414_152148_virusinfo_files_TOT2_4bc5a54c27b59.z ip
Размер файла 7323932
MD5 d351a4c14a9ca345b2b7b1a7d80a2918
Логи АВЗ повторите плюс сделайте лог МВАМ (см. в моей подписи)
The Truth is Out There
по логам файервола при включении интернета с:\windows\system32\svhost.exe
ломится на hjwbxhqr.cn (193.46.211.57)
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys',''); QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys',''); DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys'); DeleteService('cpuz129'); QuarantineFile('C:\Program Files\WinRAR\Unipatch.exe',''); QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE',''); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\services.exe'); BC_ImportAll; ExecuteSysClean;BC_DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- удалите в MBAM
Добавлено через 51 секундуКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Зараженные файлы: C:\Documents and Settings\ADMIN\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
- Удалите Bonjour
Последний раз редактировалось polword; 14.04.2010 в 17:55. Причина: Добавлено
по логам файервола при включении интернета с:\windows\system32\svhost.exe
продожает ломится на hjwbxhqr.cn (193.46.211.57)
Последний раз редактировалось alex2177; 14.04.2010 в 19:57.
по логам файервола при включении интернета с:\windows\system32\svhost.exe
продожает ломится на hjwbxhqr.cn (193.46.211.57)
Выполните скрипт
Закачайте полученный карантин по красной ссылке вверху. Повторите лог AVZ, сделайте лог Gmer (см. в моей подписи)Код:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
The Truth is Out There
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 96
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:userini.exe - Trojan-Dropper.Win32.Agent.bvvw ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )
- c:\windows\system32\svchost.exe:ext.exe - Trojan.Win32.Agent.droc ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
- c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.droc ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
- c:\windows\system32\userini.exe - Trojan-Dropper.Win32.Agent.bvvw ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wbem\grpconv.exe - Email-Worm.Win32.Joleee.erq ( BitDefender: Trojan.Generic.KD.6681, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) alex2177, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.