svchost.exe в SysWow64

Здравствуйте!
Прошу помочь.
Зловреда нашел, svchost в SysWow64, запущенный от юзера. Рассылает спам. Заблочил его пока файрволом.
Как вылечиться от него?

Благодарю!

Уважаемый(ая) [B]Ssergio[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[CODE]c:\windows\syswow64\rserver30\rserver3.exe[/CODE]Radmin Server Ваш?

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFileF('c:\users\юлия\appdata\roaming\googleupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32');
DeleteFile('C:\Users\Юлия\AppData\Roaming\GoogleUpdate\goopdate.dll', '');
DeleteService('xjupara');
DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
DeleteFileMask('c:\users\юлия\appdata\roaming\googleupdate', '*', true);
DeleteDirectory('c:\program files (x86)\lavasoft');
DeleteDirectory('c:\users\юлия\appdata\roaming\googleupdate');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 32, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

вот файлы. Карантин выслал.
Да, радмин мой.
Спасибо!

Выделите и скопируйте в буфер обмена следующий код:[CODE]CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
U3 aswbdisk; no ImagePath
2018-08-30 18:27 - 2018-08-30 18:27 - 088226808 _____ (YANDEX LLC) C:\Users\Юлия\AppData\Local\Temp\Setup-yabrowser.exe
2018-09-03 10:13 - 2018-08-16 02:26 - 000501032 _____ (Yandex LLC) C:\Users\Юлия\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Folder: c:\users\юлия\appdata\roaming\googleupdate[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Простите, а с кодом в буфере что делать?

FRST его должен подхватить при нажатии Fix.
Если не пройдёт - делайте так.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него код из предыдущего сообщения и сохраните как fixlist.txt в папку, где расположен Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
В FRST нажмите [U]один раз[/U] [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Кстати, с проблемой что?

Выполнил Fix. Лог прилагаю.
Проблема осталась. svchost там же.
Пробую его хотя бы переименовать, посылает за правами к "Trusted installer"
скрин: [url]http://joxi.ru/nAynydvsgyb44r[/url]

А что именно этот svchost.exe делает? Подробнее, со скриншотами.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

О зловреде узнал из почты, когда стали приходить сообщения, что IP попал в спамлист.
Вот скрин соединений, в т.ч. от svchost [url]http://joxi.ru/nAynydvsgybzwr[/url]
Бывает их много, все на порт 25. Они там не всегда. В момент снятия скрина их нет.
Когда были, по PID нашел, что процесс svchost в папке SysWow64
На маршрутизаторе лог соединений выглядит так: [url]http://joxi.ru/Grq1RJjS4nx50r[/url]

лог UVS вложить не могу - его zip 1.4 МБ больше моего здешнего лимита в 1 МБ.
выкладываю по ссылке [url]https://cloud.mail.ru/public/JqiD/YeFXUAVwW[/url]

Образ должен был упаковаться в архив .7z, но, видимо, Comodo заблокировал и получился .ZIP, которы в 2 с лишним раза больше.

Первым скриптом в AVZ одного трояна удалили, сейчас проблема должна быть решена. Нет запросов по 25-му порту?

Точно! Лишние запросы на порт 25 пропали!
Огромное вам спасибо!
Не дадите наводку, где в логах трояна увидели? GoogleUpdate ? И почему писали команду DeleteService('xjupara') если такой службы в логах нет, а есть только файл xjupara.sys ? Спасибо!

goopdate.dll - там троян был. А xjupara.sys это драйвер, удаление его хвостов = удалению службы в командах AVZ.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]