Помогите починить svhost

Printable View

08.11.2009, 22:24
ivanshark

Помогите починить svhost

Уважаемые специалисты , прошу вашей помоши ! Был x-connect , т.к. отключался инет , так же заражалать флешка, и постоянно была переадресация на сайты с вирусами , нод блокировал . Подручными средствами с помощью чужих логов пытался убрать x- connect , вроде получилось , но вылетает svhost и генерируется трояны.
08.11.2009, 22:36
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3989695240-5666902623-283000490-9502\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3989695240-5666902623-283000490-9502\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы

Сделайте новые логи
08.11.2009, 23:00
ivanshark

Вот новые логи ! Опять заралило флешку autorunom
08.11.2009, 23:03
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFile('F:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится

Сделайте такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
08.11.2009, 23:31
ivanshark

Вот лог Malwarebytes Antimalware
08.11.2009, 23:42
Никита Соловьев

Удалите при помощи МВАМ:
[CODE]
Заражено файлов:
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\9J91AOTI\nemexp[1].exe (Trojan.Dropper) -> No action taken.
C:\Temp\014.exe (Trojan.Dropper) -> No action taken.
C:\Temp\048.exe (Trojan.Dropper) -> No action taken.
[/CODE]

Перезагрузите ПК

Удалите временные файлы: [url]http://virusinfo.info/showthread.php?t=10025[/url]
08.11.2009, 23:47
ivanshark

Удалить только 3 файла через МВАМ ? Остальное оставлять т.е. ключи Backdoor.Bot ?
08.11.2009, 23:52
Никита Соловьев

Прошу прощения, ключи удаляем тоже
[CODE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.[/CODE]
08.11.2009, 23:55
ivanshark

Проверил , При входе в инет и запуске iexplorera Нод засек угрозу с zonetech пытается скачать
09.11.2009, 00:00
Никита Соловьев

[COLOR="Red"]Уберите ссылку![/COLOR]

Установите Service Pack 3 + все, что предложит [url=http://windowsupdate.microsoft.com]WindowsUpdate[/url]
09.11.2009, 02:47
ivanshark

Service pack 3 поставил. Вернулся а-connect , создал подключение и начал качать трояны с отключением инета . Вот новые логи
09.11.2009, 02:54
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\bsubt.exe');
DeleteFile('C:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится

Сделайте новые логи
09.11.2009, 03:10
ivanshark

Вложений: 1

вот новые логи
09.11.2009, 11:01
ivanshark

Просмотрите логи плз. , осталось ли что-то у меня ?
09.11.2009, 13:28
thyrex

Лог MBAM еще раз сделайте на всякий случай
09.11.2009, 14:53
ivanshark

Вот лог MBAM . Глянте пожалуйста
09.11.2009, 15:00
thyrex

Удалить в MBAM
[CODE]Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.[/CODE]
09.11.2009, 15:36
ivanshark

Спасибо всем, вроде все нормально !!!
10.11.2009, 15:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-3989695240-5666902623-283000490-9502\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.kbu[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Patched.BI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Patched-JZ [Trj] )[/LIST][/LIST]