svchost.exe и пр.

[SIZE=2][COLOR=#080000]Здравствуйте!
AVZ сообщает каждый раз о маскировке процесса svchost.exe. Началось уже с неделю назад, но сегодня, вскоре после первого запуска, винда выдала ошибку, связанную с svchost, и стала презагружаться. Среди процессов в диспетчере задач этих svchost'ов по две штуки ( от SYSTEM, LOCAL SERVICE и NETWORK SERVICE соответственно). Кроме всего прочего, похоже, эта не единственная проблема, последней ошибкой, выданной виндовс было вот такое: "Bonjour Servises - обнаружена ошибка. Приложение будет закрыто". странное имя прожения...
В общем, не знаю, как разобраться со всем этим.. помогите пожалуйста.. Начиналось, как в соседней теме с Win32:Agent-LNK [Wrm], обнаруженного авастом, но мне показалось, после того, как я все проверил AVZ, проблема исчесла - не давала о себе знать, по крайней мере...
[/COLOR][/SIZE]

выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Mqu15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fjn50.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jos50.sys','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Mqu15\0000', 'CSConfigFlags', '1');
DeleteFile('c:\windows\system32\vhosts.exe');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Mqu15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fjn50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos50.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\Jos50.sys');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Jos50');
BC_DeleteSvc('Fjn50');
BC_DeleteSvc('Mqu15');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...

Спасибо за ответ большое! Вот логи.. Скрипт лечения/карантина тоже нужно было повторить?

в логах ничего подозрительного ....
какие-то проблемы остались ?
что из этого не используется ?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Кажется все нормально.. Маскировку не обнаруживает.. ошибок сегодня нет.. Службы используются. только насчет" Служба обнаружения SSDP" - не знаю, что такое)
В диспетчере задач по прежнему по две штуки svchost.exe.. Может ли это что-то значить?..
И скажите пожалуйста, если на другом компе у меня та же самая проблема, могу ли я просто повторить этот скрипт?

[QUOTE=loise;177203]
И скажите пожалуйста, если на другом компе у меня та же самая проблема, могу ли я просто повторить этот скрипт?[/QUOTE]
Нет, сделайте логи и откройте новую тему.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=loise;177203]Кажется все нормально.. Маскировку не обнаруживает.. ошибок сегодня нет.. Службы используются. только насчет" Служба обнаружения SSDP" - не знаю, что такое)[/QUOTE]
что, все используются? :ohmy: [URL="http://www.oszone.net/2568/"]Служба обнаружения SSDP[/URL]
[QUOTE]в диспетчере задач по прежнему по две штуки svchost.exe.. [/QUOTE] это нормально.

Насчет служб сейчас прочитаю все и проверю..
Ошибка с "Bonjour Servises" опять выскочила ...

[QUOTE=loise;177330]
Ошибка с "Bonjour Servises" опять выскочила ...[/QUOTE]
Повторите логи.

ну это ошибка приложения mDNSResponder.exe .... - код ошибки какой ?

да.. "Ошибка приложения mDNSResponder.exe, версия 1.0.0.66, модуль mDNSResponder.exe, версия 1.0.0.66, адрес 0x00014696."
логи повторять?..
Мне отключить ненужные службы?

1 mDNSResponder.exe -слежка за пользователями Photoshop ... вроде как проверка лицензии ... если есть лицезия в суппорт ..
2 ненужные службы конечно отключить ...

Дайте скрипт пожалуйста, чтоб отключить ненужное.. Из служб, пожалуй, пусть останется только TermService - я так понял, это и есть svchost.exe :D
NetMeeting Remote Desktop Sharing и Диспетчер сеанса справки для удаленного рабочего стола почему-то у меня показаны как отключенные..
Еще отключить " отправку приглашений удаленному помошнику" .. После этого тогда сделаю логи..

svchost.exe -это много чего ;)
если комп домашний можно отключить все указанные службы ...
если нет локалки можно отключить вообще все ...

это ноут. может понадобиться подключить.. но пока не нужно, тока вдруг до меня потом не дойдет, что надо запустить опять)

Службы отключил в реестре...А где "отправка приглашений удаленному помошнику" не найду чета...

отключить можно таким скриптом ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.
[/code]

Теперь все Ок, спасибо большое! :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\fjn50.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] c:\\windows\\system32\\vhosts.exe - [B]Trojan-Proxy.Win32.Ranky.hl[/B] (DrWEB: BackDoor.Dax)[/LIST][/LIST]