svchost.exe

**d1mma** · 19.10.2008, 14:44

svchost.exe отсылает TCP пакеты на различные айпишники в основном на 80 порты. Может создавать более 100 исходящих соединений. Проверка Нодом, Авирой, CureIt не помогла. Прошу вашей помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 19.10.2008, 14:49

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('jfdcd');
 QuarantineFile('C:\DOCUME~1\Dima\LOCALS~1\Temp\jfdcd.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\jfvqpxcdexhopnj.sys','');
 DeleteFile('\??\C:\WINDOWS\system32\drivers\jfvqpxcdexhopnj.sys');
 DeleteFile('C:\DOCUME~1\Dima\LOCALS~1\Temp\jfdcd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**d1mma** · 19.10.2008, 18:56

файл послал, но в карантине только C:\WINDOWS\system32\drivers\jfvqpxcdexhopnj.sys его я уже удалял с помощью Avira.

**V_Bond** · 19.10.2008, 19:15

логи где ?

**d1mma** · 19.10.2008, 20:27

Прошу прощения - проморгал ). Сетевая активность вродебы прекратилась. Вот логи.

**V_Bond** · 19.10.2008, 20:32

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('pbwyheutslmkdj');
 DeleteFile('C:\WINDOWS\system32\drivers\jfvqpxcdexhopnj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

virusinfo_syscheck.zip повторите

**d1mma** · 19.10.2008, 20:52

Лог

**V_Bond** · 19.10.2008, 21:13

ничего плохого ...

**d1mma** · 19.10.2008, 21:34

Большое спасибо за помощь! Но у меня вопрос:
1. Что оно такое?
2. Почему промолчал монитор Нода и не вылечили остальные антивиры?
3. Как эту заразу самому выявить и лечить?
Еще раз огромное спасибо

**Гриша** · 19.10.2008, 21:47

jfvqpxcdexhopnj.sys-Rootkit.Win32.Pakes.n

Нод не всесилен

Записаться к нам в студенты...

**d1mma** · 19.10.2008, 21:52

ну я понимаю, что Нод - не панацея, но почему после заражения ниодин антивирус ни гу-гу? Авира - обратила на него внимание только как на скрытый файл.
А где проводится набор к вам в студенты?

**Гриша** · 19.10.2008, 21:53

Мой кабинет=>Членство в группах

**drongo** · 19.10.2008, 22:09

Легче не заражаться

Вот:http://virusinfo.info/showthread.php?t=30339

**d1mma** · 20.10.2008, 23:35

Легче не заражаться

Спасибо, но я уже осилил книгу Security Advisory

**CyberHelper** · 22.02.2009, 08:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\jfvqpxcdexhopnj.sy s - Rootkit.Win32.Pakes.n (DrWEB: Trojan.Spambot.354

svchost.exe (заявка № 32329)

Опции темы

svchost.exe

Итог лечения

Похожие темы

Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe

Модуль svchost.exe\svchost.exe, обнаружено: троянская программа 'Trojan-PSW.Win32.Agent.mzh'

svchost.exe

Троянская программа Trojan.Win32.Agent.goa Модуль: svchost.exe\svchost.exe

Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe

Ваши права в разделе