Показано с 1 по 17 из 17.

Подозрительный процесс C:\WINDOWS\svchost.exe (заявка № 27965)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58

    Exclamation Подозрительный процесс C:\WINDOWS\svchost.exe

    При запуске системы обнаруживается процесс svchost.exe запущеный из директории C:\WINDOWS\
    Также обнаруживается соответсвующий файл C:\WINDOWS\svchost.exe и запись в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run .
    Если убить процесс вручную, удалить файл и запись в реестре, после перезапуска системы все восстанавливается, т.е. файл, запись и процесс снова "на месте".
    Пробовал скопировать вместо C:\WINDOWS\svchost.exe файл нулевого размера и запретить любые действия с ним через права доступа - после перезапуска файл остается нетронутым, т.е. нулевого размера, процесс не запускается, но запись в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run все равно восстанавливается.
    AVZ и CureIt не помогают.
    Логи прилагаются.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 12.08.2008 в 21:05.

  4. #3
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    При попытке выполнить скрипт выдается ошибка "Undeclared identifier: 'BC_ImportAllt', позиция [6:14]". AVZ версии 4.30. Что я делаю не так?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от dangerx Посмотреть сообщение
    Что я делаю не так?
    Моя очепятка , сорри, исправил.

  6. #5
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Карантин прислал, новые логи прилагаются.
    Вложения Вложения

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('Narrator.exe','');
     QuarantineFile('C:\cygwin\bin\cygrunsrv.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\cygwin\bin\cygrunsrv.exe','');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DeleteFile('C:\WINDOWS\SVCHOST.EXE');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил


    Пофиксить в HijackThis следующие строчки
    Код:
    O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\SVCHOST.EXE
    Это вы заносили O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? Если нет, пофиксить
    Код:
    O15 - Trusted Zone: *.authority.ru
    O15 - Trusted Zone: *.bankplus.ru
    O15 - Trusted Zone: *.faktura.ru
    O15 - Trusted Zone: *.object.ru
    O15 - Trusted Zone: *.strana-express.ru
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от akoK Посмотреть сообщение
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('Narrator.exe','');
     QuarantineFile('C:\cygwin\bin\cygrunsrv.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\cygwin\bin\cygrunsrv.exe','');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DeleteFile('C:\WINDOWS\SVCHOST.EXE');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Карантин прислал.
    cygrunsrv.exe - это сервис демона sshd запущеного через Cygwin, короче он вне подозрений.
    Narrator.exe - я нашел только в dllcache, он не закарантинился как я понял, сделать может быть это вручную?

    Цитата Сообщение от akoK Посмотреть сообщение
    Пофиксить в HijackThis следующие строчки
    Код:
    O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\SVCHOST.EXE
    Я вроде бы писал что пробовал удалять это вручную через Regedit, после перезагрузки появляется снова. Или HijackThis делает это как-то по-особенному?

    Цитата Сообщение от akoK Посмотреть сообщение
    Это вы заносили O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? Если нет, пофиксить
    Код:
    O15 - Trusted Zone: *.authority.ru
    O15 - Trusted Zone: *.bankplus.ru
    O15 - Trusted Zone: *.faktura.ru
    O15 - Trusted Zone: *.object.ru
    O15 - Trusted Zone: *.strana-express.ru
    Да, откуда эти сайты в Trusted Zone я в курсе.

  9. #8
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Так что? Сразу в морг? :-D

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от dangerx Посмотреть сообщение
    Так что? Сразу в морг? :-D
    логи после скрипта нужно повторить

  11. #10
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    логи после скрипта нужно повторить

    А о том что нужны логи после скрипта не писали. Только карантин :-D
    Нужно прислать те логи которые "образовались" после запуска скрипта, или собрать по-новой?

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Собрать по-новой,после скрипта логи не образуются,только карантин...

  13. #12
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Запустил на всякий случай ещё раз скрипт и сразу же собрал все логи.
    Вложения Вложения
    Последний раз редактировалось dangerx; 14.08.2008 в 18:45.

  14. #13
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Видимо, и правда в морг :-(

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    У Вас на компьютере файловый вирус. Скачайте AVPTool и сделайте им полную проверку всех дисков.

    Добавлено через 2 минуты

    Цитата Сообщение от dangerx Посмотреть сообщение
    Видимо, и правда в морг :-(
    Давайте не будем туда торопиться.
    Последний раз редактировалось Aleksandra; 16.08.2008 в 09:54. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    9
    Вес репутации
    58
    Всем спасибо, AVPTool выловил Win32.Chuzy.b вроде бы это оно.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от dangerx Посмотреть сообщение
    Всем спасибо, AVPTool выловил Win32.Chuzy.b вроде бы это оно.
    Давайте логи в студию.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Virus.Win32.Chuzy.b (DrWEB: Win32.Fyzy)


  • Уважаемый(ая) dangerx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Windows 7 x32 процесс svchost грузит систему
      От Flange в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.08.2011, 11:02
    2. подозрительный процесс cmd.exe
      От ds.80 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.08.2010, 14:35
    3. Hidden object Процесс: C:\WINDOWS\system32\svchost
      От prekratite в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:49
    4. Ответов: 5
      Последнее сообщение: 08.11.2007, 23:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00139 seconds with 20 queries