вирусs лезут через svchost

**pavel-kvd** · 11.01.2010, 10:10

Здраствуйте. проблема такая. Вирусы лезут через Свхост. Антивирус Нод 32. Выдаёт следующее Bpeмя
C:\WINDOWS\system32\drivers\etc\hosts Вирус- Win32/Qhost троян удален NT AUTHORITY\NETWORK SERVICE Событие при попытке доступа к файлу приложением C:\WINDOWS\system32\svchost.exe. После удаления вируса тоже самое выскакиет минут через 10-15.

C:\WINDOWS\system32\drivers\etc\hosts Win32/Qhost троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\system32\services.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. И так далее.
Буду благодарен за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 11.01.2010, 10:27

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

Код:

R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.
Предоставьте virusinfo_syscure.zip, вы не тот архив выложили.

**pavel-kvd** · 11.01.2010, 10:49

Сори, извеняюсь что не тот файл вставил. Пофиксить в HiJackThis:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file) то есть нажать Fix Checked ?? не очень разобрался в проге версия английская. добавил новый лог после фиксации

**миднайт** · 11.01.2010, 12:33

Извиняюсь, перемудрил. Такой скрипт выполните:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{88888888-8888-8888-8888-888888888888}');
 QuarantineFile('\\','');
 DeleteFile('\\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Пришлите карантин согласно правил (пункт 3). Логи повторите.

**pavel-kvd** · 11.01.2010, 13:10

Логи после вашего первого поста.

**pavel-kvd** · 11.01.2010, 14:02

После 2го раза=). Скрипт выполнил, карантин выслал, логи приложил. спасибо.

**миднайт** · 11.01.2010, 14:52

Теперь лучше

.
Обновите Internet Explorer, поставьте на систему третий сервис пак(возможно потребуется активация)+обновления безопасности, обновите java, acrobat reader. Проблема больше не беспокоит?

**pavel-kvd** · 11.01.2010, 15:06

Сообщение от миднайт

Теперь лучше

.
Обновите Internet Explorer, поставьте на систему третий сервис пак(возможно потребуется активация)+обновления безопасности, обновите java, acrobat reader. Проблема больше не беспокоит?

Пока вроде не беспокоит. спасибо.

У меня не эксплорер , у меня Мазила Файрфокс обновленный. а обновления безопасноти это как называется?) Еще вопрос есть: Ключ на нод 32 лицензион. можно скачать где-нить??
И еще вопрос последний)) как избавиться от вируса lsass?? У меня антивирусник его обнаруживает , а удалить не может, в карантин помещает только и вручную никак не удаляется

. что можно предпринять?? заранее благодарен за помощь.

**миднайт** · 11.01.2010, 15:12

lsass это системный процесс. В какой папке антивирус находит его? Это и сейчас продолжается? Эксплорер надо обновлять даже если вы его не используете. Обновления на сайте микрософта можно найти. Ключ на нод32 приобретается у производителя

**pavel-kvd** · 11.01.2010, 15:27

Ой ,я имел ввиду не ключ, ошибся. У меня сама программа Нод 32 пробная версия вот. и срок 30 дней всего. а потом выдает купить лицензионную версию.) Вот я думал может скачать эту версию можно где-нить?

Файл lsass щас перестал беспокоить, проверил антивирусом.