Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

svhots.exe и его последствия (заявка № 94479)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40

    Exclamation svhots.exe и его последствия

    Всем привет!
    Правила знаю, но, к сожалению выполнить их не могу по ряду причин.
    вирус svchots.exe (прошу не путать с системным процессом svchost.exe) блокировал доступ ко всем exe-приложениям. Прочитал про этот вирус в инете (mozilla и IE тоже не запускались, читал с мобильного) - удалил собственноручно файлы из систем 32 были два вируса, один из них называется svhoTS.exe. После этого перестала вылетать табличка при запуске приложений (которая говорила, мол, запуск невозможен) и теперь система предлагает мне выбрать программу, для открытия данной программы (тоже забавно, что mozilla firefox нужно открывать саму собой).
    Читал соседние ветки, у многих похожая проблема, но все же несколько другая. Вируса у меня уже нет (каспер кстати впритык его не видит, в базу не занесли еще видимо), а программы не запускаются.
    Логи сделать не могу - авз и хайджак не запускаются. Запускаются некоторые проги из под администратора.
    Предположительно вирус наделал бед в реестре - вируса самого нет, а пути в реестре ведут на него, однако найти пути эти я не смог. Все программы, которые запускал svchost.exe перетянул к себе вирус svchots.exe. По-идее, требуется вернуть автозагрузку и что-то в реестр, чтобы все программы вновь запускались системным процессом svchost.exe
    Наверное не очень понятно пишу, но надеюсь вы меня поймете.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Цитата Сообщение от ARMA9000 Посмотреть сообщение
    В безопасном режиме логи сделать можете?
    Уже разобрался как запускать программы, но получается запустить не все. Запуская через "запустить от имени администратора".
    Всплыла новая проблема - AVZ не обновляется, пишет "invalid filename" при обновлении avzupd.zip. Поискал через яндекс и гугл - решения данной проблемы как таковой нет, у всех проблема возникала и решалась сама собой :/ (я про обновление)

  5. #4
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Отправляю хайджакзис логи
    и авз (обновить не смог)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1.Профиксите в HijackThis
    Код:
    R3 - Default URLSearchHook is missing
    O2 - BHO: Super-Search -Find more of what you need - {0286A85D-CD62-43bb-B7A9-A87D1D027160} - C:\PROGRA~1\EASYSE~1\BHO\13SUPE~1.DLL (file missing)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
    O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll (file missing)
    O3 - Toolbar: (no name) - {0508F8F1-08E3-43EE-AAA8-09AD09803084} - (no file)
    2. Отключите Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\rxtvctv.exe','');
     QuarantineFile('C:\WINDOWS\system32\z1pjvq7.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\rxtvctv.exe');
     DeleteFile('C:\WINDOWS\system32\z1pjvq7.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - обновите базы AVZ
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  7. #6
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    AVZ не обновляется, писал в предыдущем сообщении причину.
    P.S. пока что exe файлы не открываются обычным способом.
    Вот карантин:
    Последний раз редактировалось миднайт; 04.01.2011 в 02:44. Причина: удален пустой карантин

  8. #7
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    новые логи
    syscure не могу найти

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Запустите AVZ с правами администратора. Программы защиты отключите. Базы AVZ обновите и сделайте лог virusinfo_syscure.zip. В случае затруднений, сообщите.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Сложилось впечатление, что мои сообщения хелперы не читают, а просто вставляют шаблоны.
    Я конечно благодарен, но я уже третий раз пишу, что обновление не идет и я написал причину. Ребят, как обновить то? AVZ не обновляется, пишет "invalid filename" при обновлении avzupd.zip

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Вот базы свежие http://zalil.ru/30266782 Распакуйте их в подкаталог Base
    "Запустите AVZ с правами администратора. Программы защиты отключите."
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Цитата Сообщение от миднайт Посмотреть сообщение
    Вот базы свежие http://zalil.ru/30266782 Распакуйте их в подкаталог Base
    "Запустите AVZ с правами администратора. Программы защиты отключите."
    Вин рар не работает даже с правами администратора, распаковка невозможна.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Скачайте отсюда самораспаковывающийся архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.

  14. #13
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Спасибо, распаковать получилось
    Создать файл сискуре не получается, как это сделать?
    Я выполняю скрипт сбора информации для вирусинфо и только сисинфо в логах появляется

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Вы выполняете скрипты №3 и №2 или только №2?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Загрузил сискуре

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\DOCUME~1\delax\LOCALS~1\Temp\esp1828.tmp','');
     QuarantineFile('\\?\globalroot\systemroot\system32\z1pjvq7.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\rxtvctv.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\shellext.dll','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\rxtvctv.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\z1pjvq7.exe');
     DeleteFile('C:\DOCUME~1\delax\LOCALS~1\Temp\esp1828.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код:
    begin
    RegSearch('HKLM', '', 'esp1828.tmp');
     SaveLog('c:\avz00.log');
    end.
    Файл c:\avz00.log прикрепите к сообщению

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Чтобы не гадать лучше спрошу: а как сделать вообще что-либо вверху темы?
    Второе загрузил
    Программы запускаются

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Лог МВАМ где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    19.01.2007
    Сообщений
    29
    Вес репутации
    40
    Прикрепляю лог полного сканирования
    Подскажите как прикрепить в шапку темы файл "вирус"

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{2EA256ED-74B3-4322-B1E0-53D00C693E6E} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\TypeLib\{EE53711B-0711-4999-88F0-33DC043623B1} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{48C9E279-C48C-48C1-9AFC-E4E9E5E5E350} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0286A85D-CD62-43BB-B7A9-A87D1D027160} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0286A85D-CD62-43BB-B7A9-A87D1D027160} (Trojan.BHO) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    
    
    Заражённые папки:
    c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Заражённые файлы:
    f:\программы, soft\avz4\avz4\avz4\quarantine\2011-01-07\avz00001.dta (Malware.Packer.Gen) -> No action taken.
    f:\system volume information\_restore{825e34f2-5649-4f55-b238-0554e88d316f}\RP4\A0001819.exe (Hacktool.WGAFix) -> No action taken.
    c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\program files\mozilla firefox\components\supersearchxpcom.dll ','');
     QuarantineFile('c:\program files\googleplusvideos\23.googleplusvideos.dll','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     RebootWindows(true);
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог MBAM

  • Уважаемый(ая) Delax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Последствия заражения!
      От Timpru в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.09.2010, 11:10
    2. Последствия
      От xlim в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.06.2010, 23:04
    3. Последствия...
      От mdotx в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 06.04.2010, 23:42
    4. Последствия вируса
      От alexmm в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.12.2009, 09:14
    5. Последствия пинча...
      От jahman в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 01:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01090 seconds with 16 queries