Показано с 1 по 10 из 10.

Процесс svhost.exe спамит (заявка № 48535)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    37
    Вес репутации
    31

    Thumbs up Процесс svhost.exe спамит

    Процесс svhost.exe спамит, причем обращается на разные IP по 80 порту, на компе стоит Антивируса Касперского 6.0 для Windows Workstations. Им было обнаружено: троянская программа Rootkit.Win32.Agent.lup Файл: c:\windows\system32\drivers\nxhfedwfahq.sys, КурИт`ом в защищенном режиме проверить не удалось, система перезагружается, была проведена проверка в нормальном режиме, так же было обнаружено пару вирусов (лог к сожалению не сохранил) Ниже логи AVZ и HJT
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\00000729.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\00000729.sys');
     DeleteService('synsend');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('synsend');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    37
    Вес репутации
    31
    Карантин выслал. Логи ниже.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('bnovtndux');
     QuarantineFile('C:\WINDOWS\system32\drivers\nxhfedwfahq.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\nxhfedwfahq.sys');
     DeleteService('bnovtndux');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('bnovtndux');
    BC_Activate;
    SetAVZPMStatus(false);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    37
    Вес репутации
    31
    Файлы во вложении, карантин выслал.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Ничего подозрительного в логах.
    Жалобы есть?

    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    37
    Вес репутации
    31
    Жалоб пока нет. Вот только появилась одна странность, пытается установится неизвестное оборудование. Запускается мастер нового оборудования.

    Процесс shvost молчит в инет не ломится.

    Спасибо за рекомендации, но пока не могу поставить, по регламенту неположено.

    Еще раз большое спасибо за помощь!

    И вопрос на последок: почему платные антивирусы не могут справится с вирусом, а если взять беспланые утилиты и Вашу голову - проблема решается в 10 минут.

    Добавлено через 4 минуты

    Сорри, что касается неизвестного устройства разобрался.
    Последний раз редактировалось ds.80; 23.06.2009 в 10:38. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от ds.80 Посмотреть сообщение
    появилась одна странность, пытается установится неизвестное оборудование.
    Удалите его через диспетчер оборудования.
    Спасибо за рекомендации, но пока не могу поставить, по регламенту не положено.
    Это не рекомендация, а обязательный минимум безопасности в интернете. Сообщите об этом Вашему Админу, если у него будут вопросы - пусть обратится к нам.
    почему платные антивирусы не могут справится с вирусом....
    Почему не могут? Могут. Только не все ... Рассчитывать на антивирус в любом случае не нужно - все они всегда опаздывают, т.к. угроза появляется раньше, чем защита от нее.

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    37
    Вес репутации
    31
    Спасибо еще раз. Теперь все в норме

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) ds.80, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 10.08.2011, 14:20
    2. Процесс svhost.exe загружает CPU на 100%
      От Dovgan в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.10.2010, 11:23
    3. "слетает" процесс svhost.exe и комп тормозит
      От wenger в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.08.2010, 21:31
    4. qip спамит
      От Villainus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2009, 11:59
    5. Ответов: 9
      Последнее сообщение: 04.10.2009, 12:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00468 seconds with 17 queries