svchost.exe вирус [HEUR:Trojan.Win32.Generic ]

[Just_Insane]

hijackthis.logvirusinfo_syscure.zip

Доброго времени суток! Вчера вставил флешку и сразу же выскочила ошибка :svchost.exe - диск отсутствует. Гугл выдал что скорее всего это вирус и что svchost.exe должно быть несколько (1 от имени системы и вирусные копии от имени пользователя) однако в моем случае svchost.exe (через дисп. задач) один и от лица пользователя. Просмотр через ProcessExplorer ничего не дал,все те svchost.exe что добропорядочно лежат в C\windows\system32.

P.S второй файл AVZ не хочет создаваться - виснет

[Info_bot]

Уважаемый(ая) Just_Insane, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Lyrmix\LyricsmixUpdate.exe','');
 QuarantineFile('C:\Users\SkeN\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\SkeN\AppData\Roaming\Microsoft\ekfyy\ekfyy.exe','');
 DeleteFile('C:\Users\SkeN\AppData\Roaming\Microsoft\ekfyy\ekfyy.exe','32');
 DeleteFile('C:\Users\SkeN\AppData\Roaming\ScreenSaverPro.scr','32');
 DeleteFile('C:\Program Files\Lyrmix\LyricsmixUpdate.exe','32');
 DeleteFile('C:\Windows\Tasks\Lyrmix Update.job','32');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DelBHO('{A8E06666-F1AE-4436-80C1-A1A1A865F236}');
 DeleteService('VuuPCConnectivity');
 DeleteService('RemoteEngineService');
BC_ImportAll;
ExecuteSysClean;
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('TSW',3,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

[Vvvyg]

Внимание

Удалите файл quarantine.zip из вложений!

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Just_Insane]

Universal Virus Sniffer легко и непринужденно виснет после "Запустить под текущим пользователем".

[Vvvyg]

Сделайте в безопасном режиме с поддержкой сети, или попробуйте запустить StartF.exe вместо Start.exe.

[Just_Insane]

Готово

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\SKEN\APPDATA\ROAMING\MICROSOFT\GOUOUU.EXE
addsgn A7679B19B9762687F4C1B68124C89B40D92BD8B0C9FA86C1D3C3C5BCA72FD2346057C33D3EBDABB7D47F075B42D10C1230DFE872BD7D49D3D2B0E1C3F3062273 8 Mal/DorkBot-O [Sophos]

zoo %SystemDrive%\USERS\SKEN\APPDATA\ROAMING\MICROSOFT\GOUOUU.EXE
; C:\USERS\SKEN\APPDATA\ROAMING\SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\SKEN\APPDATA\ROAMING\SCREENSAVERPRO.SCR

;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\LYRMIX\LYRMIX.DLL
delref HTTP://PODSOLNUSHKI.COM/
uidel C:\Program Files\Lyrmix\uninstall.exe
uidel "C:\Program Files\VuuPC\uninstall.exe"
uidel C:\Program Files\DealPly\uninst.exe
czoo
deltmp
delnfr

areg

;-------------------------------------------------------------

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS, если не войдёт во вложения, загрузите на rghost.ru и дайте ссылку в теме.

[Just_Insane]

Вот

[Vvvyg]

Чисто.
Рекомендую деинсталлировать Pando Media Booster.

На заражённой флэшке что-то ценное есть? Если нет - отформатируйте, если да - сообщите букву диска, соответствующую этому сменному накопителю.

[Just_Insane]

Огромнейшее спасибо!)
Флэшку форматировал.
Добра вам и всех благ)

[Vvvyg]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните рекомендации после лечения.

[Just_Insane]

Все сделал, еще раз спасибо)

[Vvvyg]

Сделайте ещё для полной ясности такой лог:

Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.

В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст

Код:

%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*

в окно Custom Scans/Fixes и нажмите Run Scan.

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. \gououu.exe._6d7dde0e716e2aabeb2d130186bd2164105fa c2f - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Kazy.164610, AVAST4: Win32:Downloader-TAS [Trj] )
  2. \screensaverpro.scr._6d7dde0e716e2aabeb2d130186bd2 164105fac2f - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Kazy.164610, AVAST4: Win32:Downloader-TAS [Trj] )