Показано с 1 по 13 из 13.

Файл svchost заражен (заявка № 60816)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30

    Question Файл svchost заражен

    Здраствуйте.
    Вчера я проверял свой комп Касперским Virus Removal Tool.
    Нашло много вирусов, все вылечил или удалил, но вот файл svchost.exe (c:\windows\system\svchost.exe) заражен вирусом Packed.Win32.Katusha.i. Файл нелечится, а удалять боюсь, вдруг комп потом работать откажется. Подскажите, что с ним делать?
    Спасибо.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30
    Ладно, щас прикреплю логи.
    Но у меня всего два вопроса: Отразится ли удаление или перемещение этого файла на работе системы? Что мне с ним днлать?

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,250
    Вес репутации
    3015
    Пофиксите в HiJack
    Код:
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nxxd.pio jgtgk
    O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spooIsv.exe
    O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [NTFS_ext_drv] \\?\globalroot\systemroot\system32\ntfs_ext7.exe
    O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
    O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv681258717982.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
    O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
    O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
    O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\Администратор\photo_id.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe
    O4 - Startup: sysupd32.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('wsctf.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
     QuarantineFile('C:\WINDOWS\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\spooIsv.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe','');
     QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
     QuarantineFile('C:\WINDOWS\aekgoprn.sys','');
     QuarantineFile('C:\WINDOWS\system32\nxxd.pio','');
     TerminateProcessByName('c:\windows\temp\wpv681258717982.exe');
     QuarantineFile('c:\windows\temp\wpv681258717982.exe','');
     TerminateProcessByName('c:\windows\system32\photo_id.exe');
     QuarantineFile('c:\windows\system32\photo_id.exe','');
     DeleteFile('c:\windows\system32\photo_id.exe');
     DeleteFile('c:\windows\temp\wpv681258717982.exe');
     DeleteFile('C:\WINDOWS\aekgoprn.sys');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sysupd32.exe');
     DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Antivirus Pro 2010');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N31P');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
     DeleteFile('C:\WINDOWS\system32\chknt32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('C:\WINDOWS\system32\spooIsv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Spooler SubSystem App');
     DeleteFile('C:\WINDOWS\system\svchost.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
     DeleteFile('C:\WINDOWS\system32\nxxd.pio');
     DeleteFile('wsctf.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe');
    DeleteFileMask('C:\Program Files\AntivirusPro_2010', '*.*', true);
    DeleteDirectory('C:\Program Files\AntivirusPro_2010');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Последний раз редактировалось thyrex; 21.11.2009 в 14:57.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30
    В скрипте для AVZ ошибка: ')' expected в позиции 44:37 .
    Немогли бы Вы исправить и написать новый без ошибки.
    Спасибо.

    З.Ы. После профиксивания в ХайДжек и перезагрузки компа вылезла ошибка в winlogon.exe и появился синий экран с белыми буквами, да и буквы какие-то иероглифы. Меня чуть кандратой не хватил При следующей загрузке системы все стало нормально.

    Добавлено через 1 минуту

    А, ошибки нет, это из-за переноса строки. Извиняюсь.
    Последний раз редактировалось D-Run; 21.11.2009 в 14:13. Причина: Добавлено

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,250
    Вес репутации
    3015
    Цитата Сообщение от D-Run Посмотреть сообщение
    ошибки нет, это из-за переноса строки.
    Да, это моя ошибочка. Хорошо, что Вы сами сориентировались
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30
    Вот новые логи, помоему проблемма осталась.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:41.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Запустите w4vt8c1m.exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    w4vt8c1m.exe -del service cxgkzuk
    w4vt8c1m.exe -del file "C:\WINDOWS\system32\mketrq.dll''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "KLM\SYSTEM\ControlSet008\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cxgkzuk''
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\cxgkzuk''
    w4vt8c1m.exe -reboot
    Сделайте новый лог gmer.

  9. #8
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30
    Все сделал. Кажется проблеммы нет! Спс.

    Лог Gmer выложил.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:40.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,250
    Вес репутации
    3015
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится w4vt8c1m.exe (gmer)
    Код:
    w4vt8c1m.exe -del file "C:\WINDOWS\system32\mketrq.dll"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\cxgkzuk"
    w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\cxgkzuk"
    w4vt8c1m.exe -reboot
    И запустите cleanup.bat

    На возможные сообщения об ошибках внимание не обращайте

    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30
    Сделал. Логи ниже.
    Только вот после этого перестал работать DVD-привод(открывается-закрывается, но в Мой компьютер не отображается, и диски не читает). Незнаете как вернуть дисковод.
    Последний раз редактировалось D-Run; 20.10.2010 в 08:40.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,250
    Вес репутации
    3015
    В логе чисто.

    В BIOS привод определяется?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    34
    Вес репутации
    30
    В BIOS'e отображается кажется. Ну я в этом не очень, поэтому выложу фотки.

    Вот главная страница биоса
    http://upwap.ru/644141

    Это после того как я нажал "Standart CMOS Features"
    http://upwap.ru/644146


    А это я нажал на "ATAPI DVD A....."
    http://upwap.ru/644149

    Ну как? Что дальше делать?

    Добавлено через 51 секунду

    Извиняюсь за ссылки... Это файлообменник
    Последний раз редактировалось D-Run; 24.11.2009 в 13:34. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\sysupd32.exe - Trojan.Win32.Obfuscated.aisb ( DrWEB: Trojan.Siggen.23270, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system\svchost.exe - Packed.Win32.Katusha.i ( DrWEB: Trojan.DownLoad.50076, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\windows\system32\chknt32.exe - Trojan-Downloader.Win32.Agent.cvkd ( DrWEB: Trojan.PWS.Webmonier.178 )
      4. c:\windows\system32\nxxd.pio - Backdoor.Win32.Bredavi.azz ( DrWEB: BackDoor.Vbom.5, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Trojan-gen )
      5. c:\windows\system32\photo_id.exe - Backdoor.Win32.HareBot.akj ( DrWEB: Trojan.DownLoad.41506, NOD32: Win32/Wigon.LX trojan )
      6. c:\windows\temp\wpv681258717982.exe - Trojan-Proxy.Win32.Small.ael


  • Уважаемый(ая) D-Run, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заражен файл svchost.exe
      От bob66 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.02.2012, 12:26
    2. Ответов: 2
      Последнее сообщение: 07.10.2009, 23:12
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:49
    4. Ответов: 7
      Последнее сообщение: 05.03.2007, 10:26
    5. Заражен ли этот файл?
      От grey_horse в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 12.11.2006, 12:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00016 seconds with 16 queries