-
Junior Member
- Вес репутации
- 60
подмена svchost.exe и подмена диспетчера задач
Добрый день! у меня такая проблема. При проверке в Аvz выдает такие подозрительные строки:
d:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
D:\Documents and Settings\dom.CFCB74A19E2E471\csrss.exe ЭПС: подозрение на Обратите внимание - нестандартный диспетчер задач (высокая степень вероятности) - то есть подмена диспетчера задач.
внешне вроде ничего не происходит. следует ли что нибудь с этим делать? Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Пофиксите в Hijack:
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\3c59b0bc.exe,\\?\globalroot\systemroot\system32\78Sl2Ex.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('\\?\globalroot\systemroot\system32\78Sl2Ex.exe','');
QuarantineFile('D:\WINDOWS\system32\3c59b0bc.exe','');
QuarantineFile('D:\Documents and Settings\dom.CFCB74A19E2E471\csrss.exe','');
DeleteFile('D:\Documents and Settings\dom.CFCB74A19E2E471\csrss.exe');
DeleteFile('D:\WINDOWS\system32\3c59b0bc.exe');
DeleteFile('\\?\globalroot\systemroot\system32\78Sl2Ex.exe');
DeleteFile('d:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('FCI ');
BC_Activate;
Executerepair(11);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Обновите базы АВЗ!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
-
Пофиксите в Hijack
Код:
O23 - Service: FCI - Unknown owner - D:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Сделайте новый лог virusinfo_syscheck.zip и лог HijackThis
-
-
Junior Member
- Вес репутации
- 60
-
В логах чисто, проблема решена?
-
-
Junior Member
- Вес репутации
- 60
да! Ура! огромное спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- d:\documents and settings\dom.cfcb74a19e2e471\csrss.exe - P2P-Worm.Win32.Palevo.afgw ( DrWEB: Win32.HLLW.Autoruner.19920, BitDefender: Gen:Trojan.Heur.GZ.jq0@bqNVobec )
- d:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.apkr ( DrWEB: Trojan.Inject.8402, BitDefender: Trojan.Generic.KD.9936, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\78sl2ex.exe - Trojan-Dropper.Win32.Shiz.ap ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
-