svchost.exe в SysWow64

**Ssergio** · 31.08.2018, 13:54

Здравствуйте!
Прошу помочь.
Зловреда нашел, svchost в SysWow64, запущенный от юзера. Рассылает спам. Заблочил его пока файрволом.
Как вылечиться от него?

Благодарю!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.08.2018, 13:55

Уважаемый(ая) Ssergio, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 01.09.2018, 11:29

Код:

c:\windows\syswow64\rserver30\rserver3.exe

Radmin Server Ваш?

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFileF('c:\users\юлия\appdata\roaming\googleupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32');
 DeleteFile('C:\Users\Юлия\AppData\Roaming\GoogleUpdate\goopdate.dll', '');
 DeleteService('xjupara');
 DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
 DeleteFileMask('c:\users\юлия\appdata\roaming\googleupdate', '*', true);
 DeleteDirectory('c:\program files (x86)\lavasoft');
 DeleteDirectory('c:\users\юлия\appdata\roaming\googleupdate');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 32, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Ssergio** · 03.09.2018, 14:11

вот файлы. Карантин выслал.
Да, радмин мой.
Спасибо!

**Vvvyg** · 03.09.2018, 20:11

Выделите и скопируйте в буфер обмена следующий код:

Код:

CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
U3 aswbdisk; no ImagePath
2018-08-30 18:27 - 2018-08-30 18:27 - 088226808 _____ (YANDEX LLC) C:\Users\Юлия\AppData\Local\Temp\Setup-yabrowser.exe
2018-09-03 10:13 - 2018-08-16 02:26 - 000501032 _____ (Yandex LLC) C:\Users\Юлия\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Folder: c:\users\юлия\appdata\roaming\googleupdate

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**Ssergio** · 03.09.2018, 20:45

Простите, а с кодом в буфере что делать?

**Vvvyg** · 03.09.2018, 22:08

FRST его должен подхватить при нажатии Fix.
Если не пройдёт - делайте так.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него код из предыдущего сообщения и сохраните как fixlist.txt в папку, где расположен Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Кстати, с проблемой что?

**Ssergio** · 03.09.2018, 22:46

Выполнил Fix. Лог прилагаю.
Проблема осталась. svchost там же.
Пробую его хотя бы переименовать, посылает за правами к "Trusted installer"
скрин: http://joxi.ru/nAynydvsgyb44r

**Vvvyg** · 04.09.2018, 06:36

А что именно этот svchost.exe делает? Подробнее, со скриншотами.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Ssergio** · 04.09.2018, 09:18

О зловреде узнал из почты, когда стали приходить сообщения, что IP попал в спамлист.
Вот скрин соединений, в т.ч. от svchost http://joxi.ru/nAynydvsgybzwr
Бывает их много, все на порт 25. Они там не всегда. В момент снятия скрина их нет.
Когда были, по PID нашел, что процесс svchost в папке SysWow64
На маршрутизаторе лог соединений выглядит так: http://joxi.ru/Grq1RJjS4nx50r

лог UVS вложить не могу - его zip 1.4 МБ больше моего здешнего лимита в 1 МБ.
выкладываю по ссылке https://cloud.mail.ru/public/JqiD/YeFXUAVwW

**Vvvyg** · 04.09.2018, 20:24

Образ должен был упаковаться в архив .7z, но, видимо, Comodo заблокировал и получился .ZIP, которы в 2 с лишним раза больше.

Первым скриптом в AVZ одного трояна удалили, сейчас проблема должна быть решена. Нет запросов по 25-му порту?

**Ssergio** · 05.09.2018, 11:46

Точно! Лишние запросы на порт 25 пропали!
Огромное вам спасибо!
Не дадите наводку, где в логах трояна увидели? GoogleUpdate ? И почему писали команду DeleteService('xjupara') если такой службы в логах нет, а есть только файл xjupara.sys ? Спасибо!

**Vvvyg** · 05.09.2018, 13:39

goopdate.dll - там троян был. А xjupara.sys это драйвер, удаление его хвостов = удалению службы в командах AVZ.

**CyberHelper** · 05.09.2018, 13:49

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

svchost.exe в SysWow64 (заявка № 220101)

Опции темы