svhost.exe-опасно,маскировка исполняемого файла

[alex2177]

svhost.exe ломится на разные адреса, avz сообщает:
svhost.exe-опасно!маскировка исполняемого файла

[polword]

.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Code:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys','');
  DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('c:\WINDOWS\system32\AccelerometerSt.Exe','');
 QuarantineFile('C:\Program Files\CPUID\PC Wizard 2010\pcwiz32.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys','');
 DeleteService('cpuz129');
 DeleteService('protect');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
 DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
 DeleteService('FCI');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 BC_DeleteSvc('FCI');
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Code:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[alex2177]

сделал

[vegas]

Выполните скрипт

Code:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
 QuarantineFile('c:\windows\explorer.exe:userini.exe','');
 DeleteFile('c:\windows\explorer.exe:userini.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Пофиксите Hijackthis

Code:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

Закачайте полученный карантин по красной ссылке вверху. Повторите логи

[alex2177]

повторил

[vegas]

Выполните скрипт

Code:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Карантин закачайте, логи повторите

[polword]

+ к vegas

Пуск - Выполнить - sc delete FCI

[alex2177]

выполнил

[vegas]

1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
Обратите внимание на отчёт после завершения закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)

[alex2177]

Файл сохранён как 100414_152148_virusinfo_files_TOT2_4bc5a54c27b59.z ip
Размер файла 7323932
MD5 d351a4c14a9ca345b2b7b1a7d80a2918

[vegas]

Логи АВЗ повторите плюс сделайте лог МВАМ (см. в моей подписи)

[alex2177]

по логам файервола при включении интернета с:\windows\system32\svhost.exe
ломится на hjwbxhqr.cn (193.46.211.57)

[polword]

- Выполните скрипт в AVZ

Code:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\drivers\pctgntdi.sys','');
 QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys','');
 DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys');
 DeleteService('cpuz129');
 QuarantineFile('C:\Program Files\WinRAR\Unipatch.exe','');
 QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
 QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\services.exe');
 BC_ImportAll;
 ExecuteSysClean;BC_DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\cpuz_x32.sys'); 
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Code:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

- удалите в MBAM

Code:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\ADMIN\Application Data\wiaservg.log (Malware.Trace) -> No action taken.

Добавлено через 51 секунду

- Удалите Bonjour

[alex2177]

по логам файервола при включении интернета с:\windows\system32\svhost.exe
продожает ломится на hjwbxhqr.cn (193.46.211.57)

[alex2177]

по логам файервола при включении интернета с:\windows\system32\svhost.exe
продожает ломится на hjwbxhqr.cn (193.46.211.57)

[vegas]

Выполните скрипт

Code:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\svchost.exe','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 SetAVZPMStatus(True);
 RebootWindows(true);
end.

Закачайте полученный карантин по красной ссылке вверху. Повторите лог AVZ, сделайте лог Gmer (см. в моей подписи)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 96
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\explorer.exe:userini.exe - Trojan-Dropper.Win32.Agent.bvvw ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\svchost.exe:ext.exe - Trojan.Win32.Agent.droc ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
  3. c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.droc ( DrWEB: Trojan.Spambot.7539, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
  4. c:\windows\system32\userini.exe - Trojan-Dropper.Win32.Agent.bvvw ( DrWEB: Trojan.Spambot.8314, BitDefender: Trojan.Generic.KD.6862, AVAST4: Win32:Malware-gen )
  5. c:\windows\system32\wbem\grpconv.exe - Email-Worm.Win32.Joleee.erq ( BitDefender: Trojan.Generic.KD.6681, AVAST4: Win32:Rootkit-gen [Rtk] )