svhost.exe ломится на разные адреса, avz сообщает:
svhost.exe-опасно!маскировка исполняемого файла
Printable View
svhost.exe ломится на разные адреса, avz сообщает:
svhost.exe-опасно!маскировка исполняемого файла
.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\WINDOWS\system32\AccelerometerSt.Exe','');
QuarantineFile('C:\Program Files\CPUID\PC Wizard 2010\pcwiz32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys','');
DeleteService('cpuz129');
DeleteService('protect');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteService('FCI');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
BC_DeleteSvc('FCI');
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
сделал
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
DeleteFile('c:\windows\explorer.exe:userini.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis
[code]O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите логи
повторил
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин закачайте, логи повторите
+ к vegas
Пуск - Выполнить - [B]sc delete FCI[/B]
выполнил
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь [url]http://virusinfo.info/upload_clean.php[/url]
Обратите внимание на отчёт после завершения закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
Файл сохранён как 100414_152148_virusinfo_files_TOT2_4bc5a54c27b59.zip
Размер файла 7323932
MD5 d351a4c14a9ca345b2b7b1a7d80a2918
Логи АВЗ повторите плюс сделайте лог МВАМ (см. в моей подписи)
по логам файервола при включении интернета с:\windows\system32\svhost.exe
ломится на hjwbxhqr.cn (193.46.211.57)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys','');
QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys','');
DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
DeleteService('cpuz129');
QuarantineFile('C:\Program Files\WinRAR\Unipatch.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportAll;
ExecuteSysClean;BC_DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\ADMIN\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"][B]Bonjour[/B][/URL]
по логам файервола при включении интернета с:\windows\system32\svhost.exe
продожает ломится на hjwbxhqr.cn (193.46.211.57)
по логам файервола при включении интернета с:\windows\system32\svhost.exe
продожает ломится на hjwbxhqr.cn (193.46.211.57)
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите лог AVZ, сделайте лог Gmer (см. в моей подписи)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]96[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\explorer.exe:userini.exe - [B]Trojan-Dropper.Win32.Agent.bvvw[/B] ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\svchost.exe:ext.exe - [B]Trojan.Win32.Agent.droc[/B] ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )[*] c:\windows\system32\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Agent.droc[/B] ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )[*] c:\windows\system32\userini.exe - [B]Trojan-Dropper.Win32.Agent.bvvw[/B] ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wbem\grpconv.exe - [B]Email-Worm.Win32.Joleee.erq[/B] ( BitDefender: Trojan.Generic.KD.6681, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]