Показано с 1 по 8 из 8.

Обнаружена маскировка процесса svchost.exe (заявка № 18619)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    7
    Вес репутации
    60

    Thumbs up Обнаружена маскировка процесса svchost.exe

    Пробралась какая-то зараза,доктор веб полечил,но AVZ пишет
    Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=1352, имя = "svchost.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\svchost. exe"
    Видимый процесс с PID=1412, имя = "\Device\HarddiskVolume1\Program Files\DrWeb\spiderui.exe"
    Вот я и решил темку создать.
    Посмотрите плиз логи.
    Чем только не проверял,вроде чисто,но...
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
     QuarantineFile('C:\WINDOWS\system32\L94D0.tmp.exe','');
     QuarantineFile('C:\WINDOWS\system32\L889D.tmp.exe','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\DOCUME~1\52BF~1\LOCALS~1\Temp\ieobj.dll','');
     DeleteFile('C:\DOCUME~1\52BF~1\LOCALS~1\Temp\ieobj.dll');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\system32\L889D.tmp.exe');
     DeleteFile('C:\WINDOWS\system32\L94D0.tmp.exe');
     DeleteFile('C:\WINDOWS\system32\wind32.exe');
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
     DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}');
    BC_ImportALL;
    BC_DeleteSvc('asc3550p');
    BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18619).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    7
    Вес репутации
    60
    Сделал.
    По ходу вопрос.
    А нельзя ли вырубить проверку файлов chm,jpg,mp3,tiff,png,ico
    после первой проверки.
    А то процентов 70 проверяются они.
    Спасибо.
    Вложения Вложения
    Последний раз редактировалось sancher; 25.02.2008 в 13:33.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Больше проверку делать не нужно.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - (no file)
    O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
    O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'autoload');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте для контроля новые логи, начиная с п.10 правил.

    Добавлено через 15 минут

    А вот что было у вас в карантине:
    wind32.exe, L94D0.tmp.exe - Trojan-Downloader.Win32.Tibs.va
    L889D.tmp.exe - Email-Worm.Win32.Zhelatin.vo
    ieobj.dll - not-virus:Hoax.Win32.Renos.awm
    mssrv32.exe - свежий.
    Последний раз редактировалось Bratez; 25.02.2008 в 13:06. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    7
    Вес репутации
    60
    Спасибо,Bratez.
    Пара вопросов.
    1.Как Вы выяснили,что у меня за зверьки в карантине?
    2.И всё-таки на будущее.Нельзя ли вырубить проверку файлов chm,jpg,mp3,tiff,png,ico после первой проверки.А то процентов 70 проверяются они.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Всех определил KAV 7.0.
    2. В AVZ на вкладке "Типы файлов" есть галка "исключая файлы по маске". Можно перед запуском станд. скрипта #3 ее поставить и указать маску.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    7
    Вес репутации
    60
    Спасибо большое.
    Всё понял.
    AVZ форева =))
    Каспер тоже молодец,я всегда знал,что это хороший антивирь, и раньше только его и юзал.
    Вот если бы он систему сильно не грузил,так бы и пользовался.
    А так - пока доктор выручает.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\52bf~1\\locals~1\\temp\\ieobj.dll - Hoax.Win32.Renos.awm (DrWEB: Trojan.Fakealert.431)
      2. c:\\windows\\system32\\l889d.tmp.exe - Email-Worm.Win32.Zhelatin.vo (DrWEB: Trojan.DownLoader.19256)
      3. c:\\windows\\system32\\l94d0.tmp.exe - Trojan-Downloader.Win32.Tibs.va (DrWEB: Trojan.Packed.369)
      4. c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.ipd (DrWEB: Trojan.DownLoader.26661)
      5. c:\\windows\\system32\\wind32.exe - Trojan-Downloader.Win32.Tibs.va (DrWEB: Trojan.Packed.369)


  • Уважаемый(ая) sancher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Маскировка процесса
      От vova-n в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.09.2010, 12:34
    2. Обнаружена маскировка процесса?
      От Plint в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:10
    3. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03
    4. маскировка процесса svchost
      От Fireflyer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:15
    5. Маскировка процесса
      От Светлана Русина в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 31.10.2007, 15:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00705 seconds with 20 queries