Здравствуйте!
Прошу помочь.
Зловреда нашел, svchost в SysWow64, запущенный от юзера. Рассылает спам. Заблочил его пока файрволом.
Как вылечиться от него?
Благодарю!
Здравствуйте!
Прошу помочь.
Зловреда нашел, svchost в SysWow64, запущенный от юзера. Рассылает спам. Заблочил его пока файрволом.
Как вылечиться от него?
Благодарю!
Уважаемый(ая) Ssergio, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Radmin Server Ваш?Код:c:\windows\syswow64\rserver30\rserver3.exe
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFileF('c:\users\юлия\appdata\roaming\googleupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32'); DeleteFile('C:\Users\Юлия\AppData\Roaming\GoogleUpdate\goopdate.dll', ''); DeleteService('xjupara'); DeleteFileMask('c:\program files (x86)\lavasoft', '*', true); DeleteFileMask('c:\users\юлия\appdata\roaming\googleupdate', '*', true); DeleteDirectory('c:\program files (x86)\lavasoft'); DeleteDirectory('c:\users\юлия\appdata\roaming\googleupdate'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 32, true); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
вот файлы. Карантин выслал.
Да, радмин мой.
Спасибо!
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:CreateRestorePoint: CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx U3 aswbdisk; no ImagePath 2018-08-30 18:27 - 2018-08-30 18:27 - 088226808 _____ (YANDEX LLC) C:\Users\Юлия\AppData\Local\Temp\Setup-yabrowser.exe 2018-09-03 10:13 - 2018-08-16 02:26 - 000501032 _____ (Yandex LLC) C:\Users\Юлия\AppData\Local\Temp\yupdate-exec-yabrowser.exe Folder: c:\users\юлия\appdata\roaming\googleupdate
WBR,
Vadim
Простите, а с кодом в буфере что делать?
FRST его должен подхватить при нажатии Fix.
Если не пройдёт - делайте так.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него код из предыдущего сообщения и сохраните как fixlist.txt в папку, где расположен Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Кстати, с проблемой что?
WBR,
Vadim
Выполнил Fix. Лог прилагаю.
Проблема осталась. svchost там же.
Пробую его хотя бы переименовать, посылает за правами к "Trusted installer"
скрин: http://joxi.ru/nAynydvsgyb44r
А что именно этот svchost.exe делает? Подробнее, со скриншотами.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
О зловреде узнал из почты, когда стали приходить сообщения, что IP попал в спамлист.
Вот скрин соединений, в т.ч. от svchost http://joxi.ru/nAynydvsgybzwr
Бывает их много, все на порт 25. Они там не всегда. В момент снятия скрина их нет.
Когда были, по PID нашел, что процесс svchost в папке SysWow64
На маршрутизаторе лог соединений выглядит так: http://joxi.ru/Grq1RJjS4nx50r
лог UVS вложить не могу - его zip 1.4 МБ больше моего здешнего лимита в 1 МБ.
выкладываю по ссылке https://cloud.mail.ru/public/JqiD/YeFXUAVwW
Образ должен был упаковаться в архив .7z, но, видимо, Comodo заблокировал и получился .ZIP, которы в 2 с лишним раза больше.
Первым скриптом в AVZ одного трояна удалили, сейчас проблема должна быть решена. Нет запросов по 25-му порту?
WBR,
Vadim
Точно! Лишние запросы на порт 25 пропали!
Огромное вам спасибо!
Не дадите наводку, где в логах трояна увидели? GoogleUpdate ? И почему писали команду DeleteService('xjupara') если такой службы в логах нет, а есть только файл xjupara.sys ? Спасибо!
goopdate.dll - там троян был. А xjupara.sys это драйвер, удаление его хвостов = удалению службы в командах AVZ.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Ssergio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.