Подозрительный процесс C:\WINDOWS\svchost.exe

Printable View

12.08.2008, 20:27
dangerx

Вложений: 3

Подозрительный процесс C:\WINDOWS\svchost.exe

При запуске системы обнаруживается процесс svchost.exe запущеный из директории C:\WINDOWS\
Также обнаруживается соответсвующий файл C:\WINDOWS\svchost.exe и запись в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Если убить процесс вручную, удалить файл и запись в реестре, после перезапуска системы все восстанавливается, т.е. файл, запись и процесс снова "на месте".
Пробовал скопировать вместо C:\WINDOWS\svchost.exe файл нулевого размера и запретить любые действия с ним через права доступа - после перезапуска файл остается нетронутым, т.е. нулевого размера, процесс не запускается, но запись в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run все равно восстанавливается.
AVZ и CureIt не помогают.
Логи прилагаются.
12.08.2008, 20:42
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху страницы.
- Прикрепите логи к новому сообщению.
12.08.2008, 20:53
dangerx

При попытке выполнить скрипт выдается ошибка "Undeclared identifier: 'BC_ImportAllt', позиция [6:14]". AVZ версии 4.30. Что я делаю не так?
12.08.2008, 21:06
Rene-gad

[QUOTE=dangerx;266668] Что я делаю не так?[/QUOTE]Моя очепятка :), сорри, исправил.
12.08.2008, 21:38
dangerx

Вложений: 3

Карантин прислал, новые логи прилагаются.
12.08.2008, 21:50
akok

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Narrator.exe','');
QuarantineFile('C:\cygwin\bin\cygrunsrv.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\cygwin\bin\cygrunsrv.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\WINDOWS\SVCHOST.EXE');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE]O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\SVCHOST.EXE [/CODE]

Это вы заносили O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? Если нет, пофиксить
[code]O15 - Trusted Zone: *.authority.ru
O15 - Trusted Zone: *.bankplus.ru
O15 - Trusted Zone: *.faktura.ru
O15 - Trusted Zone: *.object.ru
O15 - Trusted Zone: *.strana-express.ru[/code]
12.08.2008, 22:39
dangerx

[QUOTE=akoK;266686][URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Narrator.exe','');
QuarantineFile('C:\cygwin\bin\cygrunsrv.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\cygwin\bin\cygrunsrv.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\WINDOWS\SVCHOST.EXE');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил[/QUOTE]

Карантин прислал.
cygrunsrv.exe - это сервис демона sshd запущеного через Cygwin, короче он вне подозрений.
Narrator.exe - я нашел только в dllcache, он не закарантинился как я понял, сделать может быть это вручную?

[QUOTE=akoK;266686][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE]O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\SVCHOST.EXE [/CODE][/QUOTE]
Я вроде бы писал что пробовал удалять это вручную через Regedit, после перезагрузки появляется снова. Или HijackThis делает это как-то по-особенному?

[QUOTE=akoK;266686]Это вы заносили O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? Если нет, пофиксить
[code]O15 - Trusted Zone: *.authority.ru
O15 - Trusted Zone: *.bankplus.ru
O15 - Trusted Zone: *.faktura.ru
O15 - Trusted Zone: *.object.ru
O15 - Trusted Zone: *.strana-express.ru[/code][/QUOTE]
Да, откуда эти сайты в Trusted Zone я в курсе.
13.08.2008, 21:44
dangerx

Так что? Сразу в морг? :-D
13.08.2008, 23:05
Rene-gad

[QUOTE=dangerx;267159]Так что? Сразу в морг? :-D[/QUOTE]логи после скрипта нужно повторить :)
14.08.2008, 08:24
dangerx

[QUOTE=Rene-gad;267191]логи после скрипта нужно повторить :)[/QUOTE]

А о том что нужны логи после скрипта не писали. Только карантин :-D
Нужно прислать те логи которые "образовались" после запуска скрипта, или собрать по-новой?
14.08.2008, 09:41
Гриша

Собрать по-новой,после скрипта логи не образуются,только карантин...
14.08.2008, 18:01
dangerx

Вложений: 3

Запустил на всякий случай ещё раз скрипт и сразу же собрал все логи.
16.08.2008, 09:09
dangerx

Видимо, и правда в морг :-(
16.08.2008, 09:54
Aleksandra

У Вас на компьютере файловый вирус. Скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и сделайте им полную проверку всех дисков.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=dangerx;268394]Видимо, и правда в морг :-([/quote]
Давайте не будем туда торопиться.
20.08.2008, 17:30
dangerx

Всем спасибо, AVPTool выловил Win32.Chuzy.b вроде бы это оно.
20.08.2008, 17:41
Rene-gad

[QUOTE=dangerx;271137]Всем спасибо, AVPTool выловил Win32.Chuzy.b вроде бы это оно.[/QUOTE]Давайте логи в студию.
22.02.2009, 07:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Virus.Win32.Chuzy.b[/B] (DrWEB: Win32.Fyzy)[/LIST][/LIST]