Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вирус маскируется под svchost (заявка № 131339)

  1. #1
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21

    Вирус маскируется под svchost

    Здравствуйте! Помогите решить проблему: интернет пропадает через некоторое время после загрузки компьютера. Есть подозрение, что вирус маскируется под svchost.exe. Помогите пожалуйста!
    Вот логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Tpycuxa, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Здравствуйте !!!

    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    + Сделайте лог Gmer

  5. #4
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    Сделала, вот лог:
    Вложения Вложения
    • Тип файла: log gmer.log (48.1 Кб, 6 просмотров)

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится m5kn4jyg.exe случайное имя утилиты (gmer)
    Код:
    m5kn4jyg.exe -del service cjwybt
    m5kn4jyg.exe -del service jwiwo
    m5kn4jyg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jwiwo"
    m5kn4jyg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cjwybt"
    m5kn4jyg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\jwiwo"
    m5kn4jyg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cjwybt"
    m5kn4jyg.exe -reboot
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!
    Сделайте новый лог gmer.

  7. #6
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    Ошибка:
    Delete Key - параметр задан неверно.

    - - - Добавлено - - -

    Новый лог, проблема осталась:
    Вложения Вложения
    • Тип файла: log gmer1.log (41.4 Кб, 2 просмотров)

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте лог полного сканирования MBAM

  9. #8
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    Логи:

    - - - Добавлено - - -

    MBAM нашёл 19 вирусов, пришлось их удалить, уж извините, ибо компьютер отказывался заходить на этот сайт и на сайты антивирусов.
    Вложения Вложения

  10. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    АВЗ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Пуск -> Отметьте пункт указанный выше -> Исправить отмеченные проблемы.
    >> Повреждено меню настройки отображения папок
    Кроме Spyware Terminator другое антивирусное ПО в системе есть ? Что с проблемой ?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    + Заархивируйте файл
    Код:
    C:\Documents and Settings\Admin\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.poisk.vid.ru.\settings.sol
    в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  12. #11
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    >>Повреждено меню настройки отображения папок
    Там нет такого пункта почему-то...
    #www.poisk.vid.ru. папка не открывается, ссылается на недоступное место.
    В папке sys есть этот самый файл settings.sol. Мне его прислать?
    Кроме Spyware Terminator есть утилита DrWeb CureIt.
    Проблема так и осталась, сейчас сижу с нетбука. К интернету компьютер вообще не хочет подключаться. Раньше подключался, работал минут 5-10, потом подключение пропадало, самопроизвольно менялось оформление панели задач и окон (с голубой становилась белой). Приходилось перезагружаться. Сейчас вообще не подключается, но панель задач всеравно меняется через минут 15...
    Последний раз редактировалось Tpycuxa; 30.01.2013 в 16:00.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Заархивируйте и пришлите тогда в карантин папку
    Код:
    C:\Documents and Settings\Admin\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\

  14. #13
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    Сама папка не архивируется, только файлы settings.sol я их и прислала.
    Файл сохранён как 130131_143408_virus_510a80e0f1e9d.zip
    Размер файла 5184
    MD5 e344530adecd67265d9897975b9bc640
    Последний раз редактировалось Tpycuxa; 31.01.2013 в 17:47.

  15. #14

  16. #15
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    Всё те же... Мне эту папку C:\Documents and Settings\Admin\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ надо было удалить с компьютера или как?

  17. #16
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) +
    Сделайте логи RSIT

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от Tpycuxa Посмотреть сообщение
    Всё те же... Мне эту папку C:\Documents and Settings\Admin\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ надо было удалить с компьютера или как?
    не не надо, там всё легальное оказалось.

  19. #18
    Junior Member Репутация
    Регистрация
    24.07.2012
    Адрес
    Украина
    Сообщений
    29
    Вес репутации
    21
    Логи:
    Вложения Вложения

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,139
    Вес репутации
    929
    > Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
    if not IsWOW64 then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\EA.exe','by RSIT');
     QuarantineFile('C:\WINDOWS\yadrive32.exe','by RSIT');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\EA.exe');
     DeleteFile('C:\WINDOWS\yadrive32.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер будет перезагружен.

    > Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

    > Повторите отчет RSIT.
    _________________
    > как выполнить скрипт в AVZ

  21. Это понравилось:


  22. #20
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    + Сделайте еще раз лог Gmer

  • Уважаемый(ая) Tpycuxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.09.2011, 02:00
    2. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 29.09.2011, 23:00
    3. Вирус маскируется под Winlogon.exe
      От Rubec в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.09.2009, 10:14
    4. Маскируется IEXPLORE.EXE, ругается svchost.exe
      От Andrey Golubev в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 11.01.2008, 14:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01349 seconds with 17 queries