svchost заражен

**Pokee** · 30.10.2008, 11:37

заражен процесс. каспер не лечит, может только пропустить ((

при запуске первого скрипта в АВЗ при выключенном инете 5 раз вылитал так и не дойдя до конца(( поэтому сделал при включенном инете

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**wise-wistful** · 30.10.2008, 11:53

1. Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы

C:\WINDOWS\System32\drivers\ati7ntxx.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\ati3jpxx.sys
C:\WINDOWS\System32\rs32net.exe.

Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением измените расширение на ddd.

Затем.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati3jpxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ati7ntxx.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\ati7ntxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati3jpxx.sys');
 DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportAll;
BC_DeleteSvc('ati5nuxx');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati3jpxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33018

Скопированные при помощи IceSword файлы запакуйте в архив под пароль virus и вышлите по той же ссылке.
Повторите логи.

**Pokee** · 30.10.2008, 13:14

C:\WINDOWS\System32\drivers\ati7ntxx.sys - сделал
C:\WINDOWS\System32\drivers\tcpsr.sys - не было файла
C:\WINDOWS\System32\Drivers\ati3jpxx.sys - не было файла
C:\WINDOWS\System32\rs32net.exe. - сделал

при создании архива каспер убил ati7ntxx.ddd так что в архиве copyed только rs32net.ddd ...

скрипт лечени/карантина больше так не разу до конца и не дошел. вылетает. лога нет ((

**Гриша** · 30.10.2008, 13:15

Правила читайте, как присылать карантин...

**Pokee** · 30.10.2008, 13:24

ой блин... простите, я вроде второй раз карантин по запарке послал во вложении... просто все что в папке а отправку было отправил. впредь буду внимателен. извените

**Гриша** · 30.10.2008, 13:29

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ati7ntxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7ntxx.sys');
 DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati7ntxx');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

**Pokee** · 30.10.2008, 14:25

скрипт лечени/карантина снова отвалился на 67% при "попытке доступа к адрессу в памяти... такой-то"

логи

**Гриша** · 30.10.2008, 14:29

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys','');
BC_ImportQuarantineList;     
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин, вы антивирус выгружаете на время проверки?

**Pokee** · 30.10.2008, 14:48

выгружаю. стоит каспер. сам антивир выгружается, а агент администрирования не выгружается (klnagent.exe).

сейчас будет карантин
логи делать?

**Pokee** · 30.10.2008, 15:05

карантин загрузил

скрипт лечени/карантина снова отвалился на 66%

вот логи.

**Гриша** · 30.10.2008, 15:54

Файл чистый, жалобы есть?

**Pokee** · 30.10.2008, 16:06

да вроде бы нет...

Пока ждал ответа запустил ДрВеба быструю проверку, он нашел
c:\programm files\internet explorer\
c:\programm files\opera\

какую-то дрянь троян.даунлоадер (файл что-то типа *set*.dll не помню) название не запомнил

ДрВеб их куда-то "переместил", я почистил корзину и темпы.

стал проверять каспером эти места, система вырубилась через синий экран...

после перезагрузки пока все тихо.

смущает только карантин АВЗ - там
c:\windows\system32\drivers\yaprdr.sys

я его на всякий АйсСвордом покоцал. Нечего страшного или зря я?

Спасибо за помощь!

пысы: нашел что есть C:\WINDOWS\system32\drivers\yaprdr.sys - часть KidsControl, давно удален, так что пусть покоится с миром

Еще раз спасибо!

**Pokee** · 01.11.2008, 10:56

два дня вроде все тихо было... и снова здорова.

появился
C:\WINDOWS\System32\rs32net.exe - правда, каспер его замочил
и
C:\WINDOWS\System32\drivers\ati*xx.sys
* - разные цифры, появлялся несколько раз. каспер их каждый раз мочит.

зараза проявляется при загрузке
может чего не дочистил?
вот логи.

**drongo** · 01.11.2008, 11:06

значит за эти 2 дня не успели выполнить http://virusinfo.info/showthread.php?t=30339 , и опять заразились

yaprdr.sys- тоже удалим, раз не нужен.
в логах ваш друг есть,отключить каспера и выполнить скрипт @ авз

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0000\w.ax','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0000\wb.vx','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0001\url.ax','');
 TerminateProcessByName('c:\windows\system32\rs32net.exe');
 QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
 DeleteService('yaprdr');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\yaprdr.sys');
 DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('yaprdr');
BC_DeleteSvc('tcpsr.sys');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**Pokee** · 01.11.2008, 12:43

сделал. ребутнулся. каспер вроде пока ничего не видит.
карантин больно большой получается... точно это все вирусы (см. картинку во вложении)? отправить могу. ~24mb слать?

загрузил карантин

вот логи

**Pokee** · 01.11.2008, 13:30

пока ждал ответа просканил каспером

c:\documents and settings\admin\local settings\temporary internet files\content.ie5\fellpm42\kb908380[1].exe - троян даунлоадер - завалил

вычистил темпы с помощью CCleaner

что с логами? жить буду?

**Гриша** · 01.11.2008, 13:49

В логах чисто, выполните полную проверку CureIT...

svchost заражен (заявка № 33018)

Опции темы

svchost заражен

Похожие темы

Файл svchost заражен

Заражен svchost.exe

svchost.exe заражен

Заражен SVCHOST.EXE !!!

Заражен svchost.exe и ip6fw.sys

Ваши права в разделе