svchost запустился от имени пользователя

[Соня]

Один из процессов svchost запустился от имени пользователя, насколько мне известно такое поведение характерно для вирусов. Он попытался прописать в авторан процесс ikowin32.exe, однако у меня стоит программа Spyware Terminator, которая меня об этом предупредила и я ему это не позволила, так как это вроде бы вирус. Кстати, Spyware Terminator показывал, что эти svchost и ikowin32.exe запускались как какие-то части обновления Adobe Reader, так как у процессов отображался его значок.
Проверьте, пожалуйста, логи. Может я, конечно, на воду дую, но уж лучше так, чем опять грохнуть систему.
Логи virusinfo_syscure и HijackThis сделаны, когда этот svchost работал, virusinfo_syscheck - после перезагрузки, когда его уже нет, согласно process explorer'у.

[Numb]

Версия Adobe reader-а у вас какая?
Программа AVZ - файл - выполнить скрипт - выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\dwprot.sys','');
 QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');
 QuarantineFile('C:\DOCUME~1\Sonya\LOCALS~1\Temp\fgtyakog.sys','');
 DeleteFile('C:\DOCUME~1\Sonya\LOCALS~1\Temp\fgtyakog.sys');
 BC_DeleteFile('C:\DOCUME~1\Sonya\LOCALS~1\Temp\fgtyakog.sys');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
SetAVZPMStatus(true);
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке в шапке темы, как написано в прил.3 правил, и повторите лог исследования системы.

[Соня]

Карантин закачала.
Версия Adobe reader-а восьмая.

Во время выполнения скрипта AVZ сообщил, что что-то не смог открыть, но я не успела запомнить - что именно, так как практически сразу после этого он сообщил, что скрипт выполнил и отправил машину на перезагрузку.

После перезагрузки обнаружилось какое-то неизвестное устройство. Что это такое - понять не удалось, так как в диспетчере устройств оно относится к другим устройствам. Драйвера на это тоже не нашлись. Вроде все подключенные внешние устройства работают - флешка, наушники, модем... Дисковод тоже.

[Numb]

Программа AVZ - верхнее меню "AVZPM" - выполните "Удалить и выгрузить драйвер расширенного мониторинга процессов"
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Clearquarantine;
QuarantineFile('\SystemRoot\System32\Drivers\Parport.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Parport.SYS','');
 QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки, если карантин будет не пустой, загрузите его по ссылке в шапке темы.
Adobe reader, особенно, если вы открываете pdf-файлы прямо в окне браузера, следует обновить - http://get.adobe.com/reader/ - или, хотя бы, обновить версию 8 через встроенную обновлялку (должен обновиться до версии 8.1.3)
У вас виден установленный DrWeb, но ощущение такое, что он неактивен. Вы его выключаете на время создания логов?

[Соня]

Все выполнила.
Adobe reader обновила до девятой версии.

Карантин не пустой, так что загрузила его по ссылке.
Неизветсное устройство по-прежнему в наличии.
Также опять прилагаю лог исследования системы, так как AVZ написал при его сборе:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL>>> Поведенческий анализ

DrWeb активен, отключала его только, когда выполняла скрипты и делала лог virusinfo_syscure.

Кстати, опять при выполнении скрипта AVZ написал, что не мог что-то открыть, если я правильно запомнила, то речь шла о файле под названием aderyglu.sys (или что-то в этом роде). Еще после выполнении скрипта, когда он отправил компьютер на перезагрузку, комп сначала показывал минуты 3-4 пустой экран, только с картинкой рабочеко стола, без ярлыков, панели и т.п. и только потом завершил работу и перезагрузился, это нормально?

[Соня]

Извините, вы про меня не забыли?

[Numb]

Файлы, которые вы прислали, чистые. Не попал в карантин один файл: C:\WINDOWS\System32\Drivers\Parport.SYS . Если есть желание завершить проверку возможно вредных, попробуйте вручную добавить его в карантин, загрузившись в безопасном режиме.
Про DrWeb вы мне так и не ответили: он рабочий, или видны только остатки удаленного антивируса? И еще: зайдите в панель управления - "администрирование" - "службы" - найдите в списке служб "Центр обеспечения безопасности" и проверьте, какой у данной службы статус.

[Соня]

DrWeb рабочий, это никак не остатки. Его иконка в трее сообщает, что все включено, все работает. Обновляется регулярно, ключ лицензионный (с журнального диска).

Статус службы "Центр обеспечения безопасности" сообщал, что она запускалась при загрузке, но почему то отображалось, что она не работала. Я ее запустила и поставила, чтобы запускалась автоматически. Вроде бы так было раньше, так что почему она отключилась, даже не знаю...

Файл Parport.SYS пришлю завтра, мне нужно закончить работу и потому не хочется перегружать машину. Кстати, странно, что не попал, в карантине AVZ он присутствует... Но я завтра сделаю это еще раз вручную.

Вы мне так и не ответили:
1. 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL>>> Поведенческий анализ
Это ничего страшного?

2. Что мне делать с неизвестным устройством, которое после выполнения скриптов показывает диспетчер устройств? Пусть так и висит там?

[Numb]

Насколько я понимаю, этот перехватчик - часть программы для редактирования тэгов .mp3-файлов (если Гугл не врет, конечно). Доступна она должна быть в контекстном меню проводника, а делать вам с ней ничего не надо, если, конечно, она вам нужна.
Что до появившегося неизвестного устройства - если оно появилось после выполнения первого скрипта, то попробуйте его просто удалить и напишите, будет ли оно обнаруживаться снова после перезагрузки.

[Соня]

Закачала новый карантин. Надеюсь сделала все правильно и файл там будет, по крайней мере в перечне был.

Насколько я понимаю, этот перехватчик - часть программы для редактирования тэгов .mp3-файлов (если Гугл не врет, конечно). Доступна она должна быть в контекстном меню проводника, а делать вам с ней ничего не надо, если, конечно, она вам нужна.

Раз это не вирус, то пусть будет. Тем более что после обновления баз при последнем сборе данных AVZ на это уже не ругался (на всякий случай прикрепляю последний лог исследования системы).

если оно появилось после выполнения первого скрипта, то попробуйте его просто удалить и напишите, будет ли оно обнаруживаться снова после перезагрузки.

Да, именно после первого скрипта появилось. Удалила. После перезагрузки оно вновь обнаружено не было. Спасибо ))

[Numb]

Файл опять не пришел - карантин абсолютно идентичен последнему вчерашнему. В логах я ничего подозрительного больше не вижу.

[Соня]

Я очистила карантин и попробовала скопировать файл еще раз - бесполезно, пишет, что файл скопирован в карантин, но в карантине его нет.
Я скопировала C:\WINDOWS\System32\Drivers\Parport.SYS вручную и просто заархивировала его с соответствующим названием архива и паролем. Отправила через ссылку вверху. Вроде бы в инструкции, ссылку на которую вы мне дали, написано, что так тоже можно?
Надеюсь, что в этот раз вы его получите и тоже проверите.
Спасибо, что столько со мной возитесь...

Добавлено через 8 минут

Извините, но возникла еще одна проблема.
Заглянула в службы, чтобы проверить работает ли служба "Центр обеспечения безопасности" - показывает, что она не запущена, а когда пытаюсь запустить, пишет "Ошибка 123: Синтаксическая ошибка в имени файла, имени папки или метке тома". Тип запуска стоит Авто, Исполняемый файл - \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs

[Numb]

parport.sys тоже чистый, больше подозреваемых у меня нет.
По поводу службы: из логов видно, что с ней проблемы. Выполните следующее: "Пуск" - "выполнить" -

Код:

regedit

. Внимание! будьте осторожны - не меняйте никаких других параметров, кроме тех, которые указаны. В открывшемся окне слева откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc\Parameters В окне справа правой кнопкой мыши щелкните на параметр serviceDLL , в контекстном меню выберите "изменить" - поменяйте значение параметра на

Код:

%SYSTEMROOT%\system32\wscsvc.dll

Подтвердите изменения, закройте редактор реестра и попробуйте снова запустить проблемную службу.

[Соня]

Посмотрела регистр - там именно такое значение параметра и стоит... Попыталась запустить службу - та же ошибка...
Причем Центр обеспечения безопасности в Панели управления - запускается. Показывает, что брандмауэр и автоматическое обновление включены. Однако недоступна функция "Изменить способ оповещений" и при попытке открыть справку, сообщает, что "Страница, которую вы пытаетесь просмотреть содержит некорректный адрес и не может быть отображена. Попробуйте другую страницу."
На всякий случай опять прикладываю лог AVZ и лог HijackThis.

P.S. Обратила внимание на строку HijackThis:

Код:

O23 - Service: Центр обеспечения безопасности (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

В связи с этим у меня возник вопрос - а должно в адресе исполняемого файла этой службы стоять именно \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs ? Ведь SystemRoot по сути и есть C:\WINDOWS, то есть получается, что служба действительно ищет файл C:\WINDOWS\C:\WINDOWS\System32\svchost.exe и, разумеется, не находит его. Возможно или SystemRoot или C:\WINDOWS стоит убрать? Тем более, что у остальных служб в адресе исполняемого файла указывается только C:\WINDOWS\папка\файл без всяких SystemRoot

[Numb]

Упс, это я ошибся. Проверяйте следующую ветку:

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

. В ней проверьте значение параметра ImagePath. Должно быть:

Код:

%SystemRoot%\System32\svchost.exe -k netsvcs

[Соня]

Значение исправила - служба запустилась, спасибо ))
В логах все чисто?

[Numb]

Да, в логах ничего откровенно вредного я не вижу.

[Соня]

Откровенно вредного? Гм... А бывает неоткровенно вредное?

[pig]

Всё бывает...

[Соня]

pig, мне просто интересно - а что в логах неоткровенно вредное? Может оно мне не надо и его можно оттуда удалить...