-
Junior Member
- Вес репутации
- 50
Подозрительный svchost.exe в system32
После копирования и запуска файлов из сети (я думал что это очередное обновлени для игры, кстати, после запуска файла размером 2,4мб зрительно ничего не произошло) появилась проблемма, при запуске firefox начало выскакивать сообщения о другом запущенном процессе firefox, решив проверить запущенные процессы я обнаружил в автозапуске 2 ссылки на подозрительный файл С:\windows\system32\install\svchost.exe в скрытой папке без возможности её сделать видимой
надеюсь на вашу помощь в преодолении данной трудности. файлы отчетов прилагаю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
авз скопировало файл С:\windows\system32\install\svchost.exe в карантин
Добавлено через 2 минуты
Антивирусник, аваст, которым я пользуюсь, файл не опознал как вредоносный код, AVT после проверки в безопасном режиме, файл вредоносным не назвал
Последний раз редактировалось GpNt; 07.02.2011 в 21:43.
Причина: Добавлено
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{DM5BG4H6-YRO2-K58Q-23W4-444W0R3G1AM4}');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Wxr.exe','');
QuarantineFile('C:\WINDOWS\system32\install\svchost.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
DeleteFile('C:\WINDOWS\system32\install\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
скрипты выполнил, фал с карантином отослал, повторные логи прилагаю
подозрительный файл пропал и не восстанавливается, в автозагрузке исчезли ссылки на этот файл
Последний раз редактировалось GpNt; 07.02.2011 в 22:50.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Wxr.exe');
DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
Скрипт выполнил, повторный лог прилагаю
-
-
-
Junior Member
- Вес репутации
- 50
спасибо за потраченное на меня время
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
