Показано с 1 по 8 из 8.

подмена svchost.exe и подмена диспетчера задач (заявка № 77796)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60

    Thumbs up подмена svchost.exe и подмена диспетчера задач

    Добрый день! у меня такая проблема. При проверке в Аvz выдает такие подозрительные строки:
    d:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
    D:\Documents and Settings\dom.CFCB74A19E2E471\csrss.exe ЭПС: подозрение на Обратите внимание - нестандартный диспетчер задач (высокая степень вероятности) - то есть подмена диспетчера задач.
    внешне вроде ничего не происходит. следует ли что нибудь с этим делать? Спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Здравствуйте!
    Пофиксите в Hijack:
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\3c59b0bc.exe,\\?\globalroot\systemroot\system32\78Sl2Ex.exe,
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('d:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('\\?\globalroot\systemroot\system32\78Sl2Ex.exe','');
     QuarantineFile('D:\WINDOWS\system32\3c59b0bc.exe','');
     QuarantineFile('D:\Documents and Settings\dom.CFCB74A19E2E471\csrss.exe','');
     DeleteFile('D:\Documents and Settings\dom.CFCB74A19E2E471\csrss.exe');
     DeleteFile('D:\WINDOWS\system32\3c59b0bc.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\78Sl2Ex.exe');
     DeleteFile('d:\windows\system32\svchost.exe:ext.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('FCI ');
    BC_Activate;
     Executerepair(11);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Обновите базы АВЗ!
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60
    вот

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксите в Hijack
    Код:
    O23 - Service: FCI - Unknown owner - D:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    Executerepair(11);
    ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    Сделайте новый лог virusinfo_syscheck.zip и лог HijackThis

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60
    вот

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60
    да! Ура! огромное спасибо за помощь!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\documents and settings\dom.cfcb74a19e2e471\csrss.exe - P2P-Worm.Win32.Palevo.afgw ( DrWEB: Win32.HLLW.Autoruner.19920, BitDefender: Gen:Trojan.Heur.GZ.jq0@bqNVobec )
      2. d:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.apkr ( DrWEB: Trojan.Inject.8402, BitDefender: Trojan.Generic.KD.9936, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. \\?\globalroot\systemroot\system32\78sl2ex.exe - Trojan-Dropper.Win32.Shiz.ap ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) ninja, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 15:12
    2. подмена диспетчера задач
      От Spinosa в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.03.2011, 02:10
    3. подмена диспетчера задач
      От Pace в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.12.2010, 12:26
    4. Подмена диспетчера задач
      От _AJ_ в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.07.2010, 23:27
    5. Подмена диспетчера задач
      От Swaak в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.04.2010, 20:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01443 seconds with 19 queries