зараза с svchost

**d.schmitz** · 18.03.2010, 22:31

вот, пожалуйста. карантин тоже отправил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 18.03.2010, 22:44

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**d.schmitz** · 18.03.2010, 23:39

прилагаю лог

**thyrex** · 19.03.2010, 00:30

Сколько у Вас антивирусов?

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microso ft\kyquyvym.exe - что за файл Вам известно?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\drivers\csabbfcc.sys
c:\dokumente und einstellungen\Administrator\fkrxsdt.exe

Driver::
csabbfcc

Folder::

Registry::

FileLook::
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите ComboFix.txt к сообщению.

**d.schmitz** · 19.03.2010, 01:11

теперь уже ни одного антивируса. сначала был mcafee, потом по очереди устанавливал nod и avg, когда началась эта зараза. этот файл мне не известен, ничего хорошего, судя по всему.

лог от вашего скрипта прилагаю (консоль микрософта, которую комбо-фикс навязывает, ставить не обязательно для этих проверок?)

**thyrex** · 19.03.2010, 13:51

Следов McAfee в логах полно.
Установка консоли восстановления - дело и выбор пользователя.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\solury.exe
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe

Driver::
tesaauswzsyp3rso
yilbnu7nfkeyeo

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\csabbfcc.sys]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите ComboFix.txt к сообщению.

**d.schmitz** · 20.03.2010, 12:02

вот свежий отчет

**thyrex** · 20.03.2010, 13:00

Удалите ComboFix

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8

**d.schmitz** · 20.03.2010, 13:32

этим все решится? и проблема с safe mode тоже?

а то, что и сейчас еще иногда всплывает сообщение generic host process win32 вызвал ошибку и будет завершен, и что через какое-то время интернет-соединение становится неактивным разве не указывает на проделки svchost?

может hijack лог сделать?

Добавлено через 10 минут

еще такой вопрос: на другои компе, через который произошло заражение, можно все ваши скрипты прогнать один к одному? правдо там винда так замедляется сразу после загрузки, что avz не запустишь. только если под досом файлы эти удалять...

**thyrex** · 20.03.2010, 13:56

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится.

Проверьте безопасный режим

Сообщение от d.schmitz

а то, что и сейчас еще иногда всплывает сообщение generic host process win32 вызвал ошибку и будет завершен, и что через какое-то время интернет-соединение становится неактивным разве не указывает на проделки svchost?

А вот для этого и рекомендовано обновить систему

Сообщение от d.schmitz

еще такой вопрос: на другои компе, через который произошло заражение,

Выполните правила на другом компьютере и предоставьте логи, но в отдельной теме
А удалять что-то вслепую не стоит

**d.schmitz** · 20.03.2010, 18:46

Сообщение от thyrex

Выполните правила на другом компьютере и предоставьте логи, но в отдельной теме
А удалять что-то вслепую не стоит

а что можно сделать, чтобы на другом компьютере до выполнения логов дело вообще дошло, если на данный момент после загрузки винды процессы какие-то так съедают память, что вообще не рыпнуться? запуск проводника уже дело безнадежное. может поискать из дос в реестре на предмет, что там сейчас autorun и отключить хотя бы какую-то часть этой лажи? не напомните, как нызывается программка для скана и редактирования реестра системы под дос?

**thyrex** · 20.03.2010, 21:19

В безопасном режиме на втором компьютере проблема с замедлением остается?

**d.schmitz** · 21.03.2010, 00:14

безопасный режим не работает на нем в принципе: вылетает в синий экран и на перезагрузку.

Добавлено через 1 час 11 минут

Следов McAfee в логах полно.

там установка была прервана. может посоветуете, чем выкорчевать следы такого рода?

**thyrex** · 21.03.2010, 00:18

Сообщение от d.schmitz

может посоветуете, чем выкорчевать следы такого рода?

http://download.mcafee.com/products/...tches/MCPR.exe

**d.schmitz** · 21.03.2010, 00:55

спасибо, не знал, что есть их собственная утилита для этого.

а что касается другого компа, как подкопаться, если не работает безопасный режим?

**thyrex** · 21.03.2010, 01:09

А пролечиться с помощью Live CD не пробовали на том компьютере?
Опять же с помощью некоторых Live CD можно и в реестр заглянуть (например, ERD Commander)

**d.schmitz** · 21.03.2010, 17:06

Запустился ERD Commander 3in1 2009, я заглянул в autoruns и services, почему-то ничего избыточного там не нашел. откуда же сразу при загрузке винды берутся процессы, которые напрочь загружают систему?

c Boot CD DDD вроде запустился AVZ, сделал логи и выложил в теме http://virusinfo.info/showthread.php?t=74163

**CyberHelper** · 22.03.2010, 17:06

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 75
В ходе лечения обнаружены вредоносные программы:
1. c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe - Backdoor.Win32.Agent.aqtx ( DrWEB: Trojan.MulDrop1.7137, BitDefender: Trojan.Agent.AOXV, AVAST4: Win32:Malware-gen )
2. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0044848.exe:exe.exe:$data - Trojan.Win32.Agent.dnww ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )
3. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0045858.exe:userini.exe:$data - Email-Worm.Win32.Joleee.eqz ( DrWEB: Trojan.Spambot.6597, BitDefender: Trojan.Spammer.Tedroo.CB, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:Trojan-gen )
4. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0049079.exe:userini.exe:$data - Email-Worm.Win32.Joleee.erm ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Dropper.Agent.UWE, AVAST4: Win32:Malware-gen )
5. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0050142.exe:exe.exe:$data - Trojan.Win32.Agent.dnww ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )
6. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0050143.exe:userini.exe:$data - Email-Worm.Win32.Joleee.erm ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Dropper.Agent.UWE, AVAST4: Win32:Malware-gen )
7. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0055766.exe:exe.exe:$data - Trojan.Win32.Agent.dnww ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )
8. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0059883.exe:userini.exe:$data - Email-Worm.Win32.Joleee.erc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )
9. c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0059947.exe:userini.exe:$data - Email-Worm.Win32.Joleee.erc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )
10. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.erc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )
11. c:\windows\system32\qtplugin.exe - Backdoor.Win32.Agent.aqqp ( DrWEB: Trojan.PWS.Mailer, BitDefender: DeepScan:Generic.Malware.SFMHloe.9FDB5D5C, NOD32: Win32/DMSpammer.A trojan )
12. c:\windows\system32\qtwm.exe - Backdoor.Win32.Delf.tkr ( DrWEB: BackDoor.Uncapch, BitDefender: Trojan.Generic.KD.2507, AVAST4: Win32:Malware-gen )
13. c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.dnww ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )
14. c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.erc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )
15. c:\windows\system32\wmicvrt.exe - Trojan-Spy.Win32.Zbot.agvz ( DrWEB: BackDoor.IRC.Bot.257, BitDefender: Trojan.Agent.VB.BHU, AVAST4: Win32:Malware-gen )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

зараза с svchost (заявка № 73568)

Опции темы

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

зараза svchost.com

зараза в svchost

Модуль svchost.exe\svchost.exe, обнаружено: троянская программа 'Trojan-PSW.Win32.Agent.mzh'

Какая-то зараза запускает svchost в окне

Зараза в system32\svchost.exe:ext.exe:$DATA и что еще???

Метки для этой темы

Ваши права в разделе