Svhost.exe и smsc.exe

**Ray11** · 27.04.2009, 12:01

Проблема следующего характера: При каждом запуске компутера антивирус блокирует файлы svhost.exe и smsc.exe после этого происходит отсановка служб. таких как диспетчер очереди печати. Т.е принтера перестают тупо печатать. Принтер подключен к этому кому с которого сняты логи.
При создании логов создались сразу папочки Инфектед и Карантин. Присылать нужно ?.
------------------------------
Заранее спасибо.

Во.. прям 5 сек назад удаленно отправили на печать с другого компа и на компе где подключен принтер вылезла ошибка про Spooler sub.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 27.04.2009, 12:46

Скачайте последнюю версию Хайджека по ссылке в правилах!!!!

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [ctfmon] C:\WINDOWS\system\svhost.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system\svhost.exe');
 TerminateProcessByName('c:\windows\system\smsc.exe');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP9\A0000587.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP15\A0001143.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP14\A0001103.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP13\A0001020.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP13\A0000982.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP12\A0000945.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP12\A0000923.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP11\A0000819.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP11\A0000780.exe','');
 QuarantineFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP10\A0000740.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('c:\windows\system\svhost.exe','');
 QuarantineFile('c:\windows\system\smsc.exe','');
 DeleteFile('c:\windows\system\smsc.exe');
 DeleteFile('c:\windows\system\svhost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP10\A0000740.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP11\A0000780.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP11\A0000819.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP12\A0000923.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP12\A0000945.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP13\A0000982.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP13\A0001020.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP14\A0001103.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP15\A0001143.exe');
 DeleteFile('C:\System Volume Information\_restore{65D060BE-532E-469C-9C36-F9ACA5FE214D}\RP9\A0000587.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Добавлено через 1 минуту

Сообщение от Ray11

При создании логов создались сразу папочки Инфектед и Карантин.

Да, спасибо.

**Ray11** · 27.04.2009, 13:42

Пофиксик O4 - HKLM\..\Run: [ctfmon] C:\WINDOWS\system\svhost.exe.
Скрипт выполнил, после перезапуска компа антизверь перестал ругаться на эти файлы.
Карантин и Инфектед прислал по красной ссылке сверху.
Логи выполнил, создались новые папки Карантина и инфектеда.
Присылать ?

**Rene-gad** · 27.04.2009, 13:56

Скачайте последнюю версию Хайджека по ссылке в правилах!!!!

????

Восстановление системы: включено

Обновить, выключить, повторить логи.

**Ray11** · 27.04.2009, 14:07

Мои извинения. Логи делать занова ?

Новые логи...

Карантин Quarantine1.zip залали по красной ссылке.

**Rene-gad** · 27.04.2009, 14:19

В логах ничего плохого не видно.
- Установите Сервис Пак 3 - возможно потребуется активация системы - и последующие патчи.
- Установите ИЕ 8

**CyberHelper** · 28.04.2009, 14:19

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 112
В ходе лечения обнаружены вредоносные программы:
1. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp10\a0000705.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
2. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp10\a0000708.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
3. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp10\a0000717.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
4. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp10\a0000726.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
5. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp10\a0000735.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
6. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000760.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
7. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000761.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
8. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000762.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
9. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000771.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
10. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000772.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
11. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000787.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
12. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000793.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
13. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000794.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
14. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000799.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
15. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000809.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
16. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp11\a0000810.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
17. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000888.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
18. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000907.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
19. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000908.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
20. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000917.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
21. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000929.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
22. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000935.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
23. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp12\a0000936.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
24. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000962.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
25. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000963.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
26. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000971.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
27. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000972.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
28. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000984.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
29. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000985.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
30. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000990.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
31. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000991.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
32. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000998.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
33. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0000999.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
34. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0001009.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
35. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp13\a0001010.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
36. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp14\a0001070.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
37. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp14\a0001071.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
38. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp14\a0001072.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
39. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp14\a0001073.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
40. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp14\a0001084.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
41. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp14\a0001094.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
42. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp15\a0001116.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
43. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp15\a0001117.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
44. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp15\a0001135.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
45. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp16\a0001178.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
46. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp16\a0001179.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
47. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp16\a0001188.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
48. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp16\a0001198.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
49. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp9\a0000549.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
50. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp9\a0000560.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
51. c:\system volume information\_restore{65d060be-532e-469c-9c36-f9aca5fe214d}\rp9\a0000578.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
52. c:\windows\system\smsc.exe - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
53. c:\windows\system\svhost.exe - Trojan-Dropper.Win32.Agent.akxp ( DrWEB: Win32.HLLW.Druck.2, BitDefender: Packer.Krunchy.B )
54. c:\windows\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )
55. c:\windows\system32\01.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
56. c:\windows\system32\07.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
57. c:\windows\system32\08.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
58. c:\windows\system32\10.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
59. c:\windows\system32\11.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
60. c:\windows\system32\16.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
61. c:\windows\system32\21.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
62. c:\windows\system32\30.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
63. c:\windows\system32\48.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
64. c:\windows\system32\51.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
65. c:\windows\system32\53.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
66. c:\windows\system32\55.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
67. c:\windows\system32\65.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
68. c:\windows\system32\67.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
69. c:\windows\system32\70.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
70. c:\windows\system32\74.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
71. c:\windows\system32\82.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )
72. c:\windows\system32\84.scr - Worm.Win32.AutoRun.fla ( DrWEB: BackDoor.IRC.Sdbot.4752, BitDefender: Trojan.Agent.AMMK )

Svhost.exe и smsc.exe (заявка № 44628)

Опции темы

Svhost.exe и smsc.exe

Итог лечения

Похожие темы

Вирус smsc.exe

smsc.exe-что это?

smsc.exe - после удаления нестабильная работа

smsc.exe

Ваши права в разделе