-
Junior Member
- Вес репутации
- 63
svhots.exe и его последствия
Всем привет!
Правила знаю, но, к сожалению выполнить их не могу по ряду причин.
вирус svchots.exe (прошу не путать с системным процессом svchost.exe) блокировал доступ ко всем exe-приложениям. Прочитал про этот вирус в инете (mozilla и IE тоже не запускались, читал с мобильного) - удалил собственноручно файлы из систем 32 были два вируса, один из них называется svhoTS.exe. После этого перестала вылетать табличка при запуске приложений (которая говорила, мол, запуск невозможен) и теперь система предлагает мне выбрать программу, для открытия данной программы (тоже забавно, что mozilla firefox нужно открывать саму собой).
Читал соседние ветки, у многих похожая проблема, но все же несколько другая. Вируса у меня уже нет (каспер кстати впритык его не видит, в базу не занесли еще видимо), а программы не запускаются.
Логи сделать не могу - авз и хайджак не запускаются. Запускаются некоторые проги из под администратора.
Предположительно вирус наделал бед в реестре - вируса самого нет, а пути в реестре ведут на него, однако найти пути эти я не смог. Все программы, которые запускал svchost.exe перетянул к себе вирус svchots.exe. По-идее, требуется вернуть автозагрузку и что-то в реестр, чтобы все программы вновь запускались системным процессом svchost.exe
Наверное не очень понятно пишу, но надеюсь вы меня поймете.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В безопасном режиме логи сделать можете?
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
ARMA9000
В безопасном режиме логи сделать можете?
Уже разобрался как запускать программы, но получается запустить не все. Запуская через "запустить от имени администратора".
Всплыла новая проблема - AVZ не обновляется, пишет "invalid filename" при обновлении avzupd.zip. Поискал через яндекс и гугл - решения данной проблемы как таковой нет, у всех проблема возникала и решалась сама собой :/ (я про обновление)
-
Junior Member
- Вес репутации
- 63
Отправляю хайджакзис логи
и авз (обновить не смог)
-
1.Профиксите в HijackThis
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: Super-Search -Find more of what you need - {0286A85D-CD62-43bb-B7A9-A87D1D027160} - C:\PROGRA~1\EASYSE~1\BHO\13SUPE~1.DLL (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll (file missing)
O3 - Toolbar: (no name) - {0508F8F1-08E3-43EE-AAA8-09AD09803084} - (no file)
2. Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rxtvctv.exe','');
QuarantineFile('C:\WINDOWS\system32\z1pjvq7.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\rxtvctv.exe');
DeleteFile('C:\WINDOWS\system32\z1pjvq7.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 63
AVZ не обновляется, писал в предыдущем сообщении причину.
P.S. пока что exe файлы не открываются обычным способом.
Вот карантин:
Последний раз редактировалось миднайт; 04.01.2011 в 02:44.
Причина: удален пустой карантин
-
Junior Member
- Вес репутации
- 63
новые логи
syscure не могу найти
-
Запустите AVZ с правами администратора. Программы защиты отключите. Базы AVZ обновите и сделайте лог virusinfo_syscure.zip. В случае затруднений, сообщите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 63
Сложилось впечатление, что мои сообщения хелперы не читают, а просто вставляют шаблоны.
Я конечно благодарен, но я уже третий раз пишу, что обновление не идет и я написал причину. Ребят, как обновить то? AVZ не обновляется, пишет "invalid filename" при обновлении avzupd.zip
-
Вот базы свежие http://zalil.ru/30266782 Распакуйте их в подкаталог Base
"Запустите AVZ с правами администратора. Программы защиты отключите."
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
миднайт
Вот базы свежие
http://zalil.ru/30266782 Распакуйте их в подкаталог Base
"
Запустите AVZ с правами администратора. Программы защиты отключите."
Вин рар не работает даже с правами администратора, распаковка невозможна.
-
Скачайте отсюда самораспаковывающийся архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.
-
-
Junior Member
- Вес репутации
- 63
Спасибо, распаковать получилось
Создать файл сискуре не получается, как это сделать?
Я выполняю скрипт сбора информации для вирусинфо и только сисинфо в логах появляется
-
Вы выполняете скрипты №3 и №2 или только №2?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\DOCUME~1\delax\LOCALS~1\Temp\esp1828.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\z1pjvq7.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\rxtvctv.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\shellext.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('\\?\globalroot\systemroot\system32\rxtvctv.exe');
DeleteFile('\\?\globalroot\systemroot\system32\z1pjvq7.exe');
DeleteFile('C:\DOCUME~1\delax\LOCALS~1\Temp\esp1828.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните скрипт в AVZ
Код:
begin
RegSearch('HKLM', '', 'esp1828.tmp');
SaveLog('c:\avz00.log');
end.
Файл c:\avz00.log прикрепите к сообщению
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
Чтобы не гадать лучше спрошу: а как сделать вообще что-либо вверху темы?
Второе загрузил
Программы запускаются
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
Прикрепляю лог полного сканирования
Подскажите как прикрепить в шапку темы файл "вирус"
-
1. удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{2EA256ED-74B3-4322-B1E0-53D00C693E6E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{EE53711B-0711-4999-88F0-33DC043623B1} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{48C9E279-C48C-48C1-9AFC-E4E9E5E5E350} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0286A85D-CD62-43BB-B7A9-A87D1D027160} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0286A85D-CD62-43BB-B7A9-A87D1D027160} (Trojan.BHO) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражённые файлы:
f:\программы, soft\avz4\avz4\avz4\quarantine\2011-01-07\avz00001.dta (Malware.Packer.Gen) -> No action taken.
f:\system volume information\_restore{825e34f2-5649-4f55-b238-0554e88d316f}\RP4\A0001819.exe (Hacktool.WGAFix) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\program files\mozilla firefox\components\supersearchxpcom.dll ','');
QuarantineFile('c:\program files\googleplusvideos\23.googleplusvideos.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM
-