Показано с 1 по 16 из 16.

Antivir ругается + wuaucldt.exe + msxslt3 + svchost.exe (заявка № 92905)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55

    Question Antivir ругается + wuaucldt.exe + msxslt3 + svchost.exe

    Antivir информирует о нахождении вирусов в папке Local Settings\Temp\NS8 и др., вроде бы удаляет, но видимо удаляет не все, потому что после перезагрузки PC происходит тоже самое.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\system32\setup\svchost.exe');
     QuarantineFile('c:\windows\system32\setup\svchost.exe','');
     TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('c:\documents and settings\anton\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\msxslt3.exe','');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     DeleteFile('C:\WINDOWS\system32\msxslt3.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     DeleteFile('c:\documents and settings\anton\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    Спасибо за оперативность, проблема исчезла.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Не торопитесь уходить. Ждём результатов карантина.

  6. #5
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    Все скрипты выполнил, карантин отправил, но радовался и правда зря.

    Вчера вроде бы все было чисто, и Антивир уже нечего не детектировал.
    Сегодня решил сделать повторные логи, запустил AVZ на сканирование и открыл браузер. Через некоторое время пропал интернет и в браузере перестали открываться новые вкладки. Дальше еще хуже - перестали запускаться все программы начиная от Total Commander с диспетчером задач и заканчивая блокнотом. Хорошо что AVZ раннее был открыт. Запустил из AVZ диспетчер процессов - завершил левый svchost.exe, который вчера пытались удалить. Прошелся по встроенным менеджерам AVZ (автозапуска, расширений, служб и драйверов и др.) и удалил все подозрительные объекты. Единственное что не получилось вручную удалить это logonuiX.exe и psxss.exe, оба в папке system32. Перезагрузил компьютер - программы заработали.

    Видимо причина изначально была в svchost.exe, поскольку при загрузке системы выскакивает окошко удаленного доступа для подключения к интернету. К сожалению не придал этому значения. Выкладываю новые логи.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('svchost32', 4);
     DeleteService('svchost32');
     TerminateProcessByName('c:\windows\system32\setup\svchost.exe');
     DeleteFile('c:\windows\system32\setup\svchost.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-57989841-1004336348-725345543-1004\Dc474\Quarantine\2009-03-18\avz00001.dta');
     DeleteFile('C:\RECYCLER\S-1-5-21-57989841-1004336348-725345543-1004\Dc474\Quarantine\2009-06-09\avz00101.dta');
     DeleteFile('C:\RECYCLER\S-1-5-21-57989841-1004336348-725345543-1004\Dc474\Quarantine\2009-06-25\avz00001.dta');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    К сожалению не помогло. Провел проверку с помощью утилиты CureIT - нечего не нашла. Такой вопрос: это нормально если в встроенном в AVZ менеджере внедренных DLL в описании к 6 файлам значится "Подозрение на Keyloger или троянскую DLL"?
    Вот новые логи

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    Сделал

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ
    Код:
    Заражённые файлы:
    c:\avz4.35\avz4\quarantine\2010-12-03\avz00002.dta (Trojan.Downloader) -> No action taken.
    c:\avz4.35\avz4\quarantine\2010-12-03\avz00003.dta (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\F4C51XKM\1[1].exe (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    Удалил в MBAM.

    До этого вручную удалил svchost.jxe, так как скриптом не удалилось, видимо потому что расширение у него было не exe а jxe.

    Заметил что в папке C:\Documents and Settings\ появились новые папки с файлами, которых раньше не было: LocalService.NT AUTHORITY и NetworkService.NT AUTHORITY. Проверил на другом PC - таких папок там нет. Все они созданны с 4 по 6 ноября - когда и появились проблемы. Через файл-менеджер не удаляются.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Не трогайте эти папки. Они используются системой
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    Сделал полную проверку Касперским - 4 файла в карантине. Программы запускаются, но подключение удаленного доступа все равно переодически выскакивает. Какие еще будут идеи?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Обновления для системы все установлены?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    23
    Вес репутации
    55
    Service Pack 3, единственное что за последнюю неделю не обновлялся. Сейчас не могу включить автоматическое обновление, не через Систему ни через Центр обеспечения безопасности. Попросту не могу выбрать не чего.

    Касперским провел поиск уязвимостей в системе, установил все рекомендуемые обновления кроме Apache 2.2. До него еще не добрался.

    На карантине в Касперском 4 файла - и в примечании к файлам указано "Неизвестная угроза", может быть их нужно удалить или это не на что не влияет?

    Ситуация безнадежна, или можно попробывать еще что то сделать?

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msxslt3.exe - Trojan.Win32.VBKrypt.agtn ( DrWEB: Trojan.DownLoader1.39445, BitDefender: Trojan.Generic.5997941, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\\windows\\system32\\setup\\svchost.exe - Trojan.Win32.KillAV.hex ( DrWEB: Trojan.Proxy.18523, BitDefender: Gen:Variant.Kazy.2468, AVAST4: Win32:MalOb-CK [Cryp] )
      3. c:\\windows\\system32\\wuaucldt.exe - Backdoor.Win32.Bifrose.djei ( DrWEB: BackDoor.Bulknet.510, BitDefender: Gen:Variant.Strictor.849, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Milini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Avast ругается на svchost
      От twelve в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.01.2012, 21:25
    2. Вылетает интернет, ругается на svchost.exe
      От Baz1k в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.09.2011, 13:50
    3. кий ругается на svchost
      От bo4karev в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 30.06.2010, 17:40
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 03:11
    5. Маскируется IEXPLORE.EXE, ругается svchost.exe
      От Andrey Golubev в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 11.01.2008, 14:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00747 seconds with 19 queries