Junior Member
Вес репутации
56
Помогите подозрение на файл svhost
Здравствуйте!
Прошу помощи в следующем вопросе.
Firewall компьютера при подключении к интернету все время выдает сообщения об ошибочном DNS запросе.
Запрос производит файл svhost.
Логи проверки AVZ и HijackThis Вам высылаю.
Так же высылаю файл svhost.
Проверка CureIt и AVPTool результатов не дала.
Компьютер домашний.
С уважением, Сергей.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - AppInit_DLLs: karna.dat
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\LastGood\System32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\System32\skvctcp.cpl','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111114457}');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\ie.exe','');
QuarantineFile('C:\WINDOWS\System32\schannel.dll','');
QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Temp\{13F1BAFA-C0A7-4A37-BB00-F85ED0D299FC}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\VPOYMRPS.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fpa48.sys','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\3kpqbf\90d2urm.exe','');
QuarantineFile('C:\WINDOWS\iedr.exe','');
QuarantineFile('C:\WINDOWS\System32\_svchost.exe','');
QuarantineFile('C:\Documents and Settings\Sergey\~tmp0374.exe','');
QuarantineFile('C:\WINDOWS\System32\3ivxo.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
QuarantineFile('C:\Documents and Settings\Sergey\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\System32\winlagan.exe','');
DeleteFile('C:\WINDOWS\System32\winlagan.exe');
DeleteFile('C:\Documents and Settings\Sergey\ie_updates3r.exe');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
DeleteFile('C:\WINDOWS\System32\3ivxo.exe');
DeleteFile('C:\Documents and Settings\Sergey\~tmp0374.exe');
DeleteFile('C:\WINDOWS\System32\_svchost.exe');
DeleteFile('C:\WINDOWS\iedr.exe');
DeleteFile('C:\WINDOWS\Downlo~1\3kpqbf\90d2urm.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Fpa48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nfy65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qbx15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wca81.sys');
DeleteFile('C:\WINDOWS\system32\drivers\VPOYMRPS.sys');
DeleteFile('C:\WINDOWS\ie.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('c:\windows\system32\karna.dat');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\LastGood\System32\svchost.exe:ext.exe:$DATA');
BC_Importall;
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('apcsvra32');
BC_DeleteSvc('Microsoft IE Updater');
BC_DeleteSvc('HIDlmW32Time');
BC_DeleteSvc('Microsoft Int Service');
BC_DeleteSvc('Physical Memory Protector');
BC_DeleteSvc('Network Driver Interface');
BC_DeleteSvc('srvcdbg');
BC_DeleteSvc('VPOYMRPS');
BC_DeleteSvc('Wca81');
BC_DeleteSvc('Qbx15');
BC_DeleteSvc('Nfy65');
BC_DeleteSvc('Fpa48');
BC_DeleteSvc('FCI');
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=39396
Повторите логи по правилам.
Это ваше?
Код:
O15 - Trusted Zone: http://update.randhi.com
O15 - Trusted Zone: http://secure.gestrip.com
Junior Member
Вес репутации
56
Спасибо!
После выполнения всех Ваших рекомендаций, все стало работать без проблем.
Огромное Вам спасибо!
Карантин я выслал, по указанной ссылке.
Новые логи высылаю.
С уважением и благодарностью, Сергей.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Temp\{13F1BAFA-C0A7-4A37-BB00-F85ED0D299FC}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE','');
DeleteService('apcsvra');
DeleteService('HIDlm');
DeleteFile('C:\WINDOWS\System32\xuser.exe');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('msansspc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('apcsvra');
BC_DeleteSvc('HIDlm');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
56
Я уже высылал карантин и повторял логи.
Сейчас все работает нормально.
Ещё раз повторите. Мы ведь не просто так просим...
Junior Member
Вес репутации
56
А скрипт новый что Вы прислали тоже запускать?
Или просто логи с карантином еще раз выслать?
Запускать, а после него новые логи сделать...
Junior Member
Вес репутации
56
Junior Member
Вес репутации
56
Логи и карантин
Высылаю логи и карантин после запуска второго скрипта от Вас.
С уважением, Сергей.
P.S Программа Punto Switcher, на которую ругается AVZ, является автоматическим переключением раскладки клавиатуры с Русского на Английский язык и наоборот.
Работала уже лет 5 на разных компах и не только у меня. Это не шпион перехватчик. Но думаю вы знаете.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Sergey\Local Settings\Temp\{13F1BAFA-C0A7-4A37-BB00-F85ED0D299FC}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
Junior Member
Вес репутации
56
Новый LOG
Запустил еще один скрипт посланный Вами.
Пункт 2 диагностики выполнил, LOG высылаю.
Какие у Вас подозрения по поводу моей машины?
Вложения
В логах чисто, установите SP3+all updates...
Junior Member
Вес репутации
56
Хорошо, спасибо за помошь!
SP3 поможет поднять защищенность системы я так понимаю?
А что у меня было первоначально, когда началась проблема, это вирус какой то что ни одна программа его не определяла?
Буду признателен за ответ!
Еще раз спасибо что не оставили в беде!
SP3 очень поднимет вашу безопасность А было много всего...
Junior Member
Вес репутации
56
Еще раз спасибо Григорий!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 48 В ходе лечения вредоносные программы в карантинах не обнаружены