Показано с 1 по 9 из 9.

вирус в svchost.exe (заявка № 83182)

  1. #1
    Junior Member Репутация
    Регистрация
    15.07.2010
    Сообщений
    4
    Вес репутации
    51

    Exclamation вирус в svchost.exe

    каспер постоянно пишет что заражён svchost.exe ещё появляются в папке system32 цифирные экзишники типа 574.exe 84.exe и т.д.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS.0\system32\sol.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0456963884-1518197921-795507898-6591\syscr.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\JulaWdm.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\Jula.sys','');
     QuarantineFile('c:\documents and settings\Администратор.microsof-85412f\Рабочий стол\juli@-v1_23\julapan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0456963884-1518197921-795507898-6591\syscr.exe');
     DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    15.07.2010
    Сообщений
    4
    Вес репутации
    51
    файл был закачан: 100716_130201_quarantine_4c402009d6d0c.zip

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe','');
     QuarantineFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\57.exe','');
     DeleteFile('C:\WINDOWS.0\system32\57.exe');
     DeleteFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe');
     DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\33550811.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\iissync.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe'');
     DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5'', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\dllcache\iissync.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    15.07.2010
    Сообщений
    4
    Вес репутации
    51
    скрипт не работает
    ошибка ")" expected позиция 18:13

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Поправленный скрипт

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe','');
     QuarantineFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\57.exe','');
     DeleteFile('C:\WINDOWS.0\system32\57.exe');
     DeleteFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe');
     DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\33550811.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\iissync.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe');
     DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\dllcache\iissync.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    15.07.2010
    Сообщений
    4
    Вес репутации
    51
    Скрипт я уже сам догадался как исправить, спасибо
    и ещё вопрос, я подключал к заражённым компьютерам съёмные USB винчестеры, как оттуда удалить эти вирусы?

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Подключите и проверьте антивирусом. Обычно эта зараза прописывается только на системном диске
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows.0\system32\msvmiode.exe - Trojan.Win32.Buzus.etul ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FR, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) Pendal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 22
      Последнее сообщение: 19.05.2012, 15:40
    2. вирус в svchost.exe
      От igor2999 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.12.2010, 17:12
    3. вирус в svchost.exe
      От Alex12 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.09.2010, 14:08
    4. Вирус в svchost
      От konsul2008 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.10.2009, 00:42
    5. svchost.exe вирус?
      От Spiritrus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.11.2008, 12:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01379 seconds with 17 queries