подменили процесс svchost( служба RPC)

[ane4ka]

вчера решила проверить запущенные процессы-Svchostviewer- показывает что процесс svchost (RPC)подменен и НЕ принадлежит MICROSOFT!что мне с этим делать?это служба RPC, должна работать с учётной записью NT AUTHORITY\...а у меня работает с системной учётной записью и я не могу это изменить.Да ещё служба новая появилась-HQD ,я её отключила и запретила для своего профиля. Сходила на VirusInfo задала такой же вопрос там,помогли только тем, что служба убралась(HQD).А с подменённым процессом что мне делать?перезапуск не получается и учетную запись не сменить.ЖДУ ПОМОЩИ.

[Falcon]

Логи давайте по правилам.

[ane4ka]

да,про логи забыла.

[snifer67]

- Выполните скрипт в avz

begin
QuarantineFile('c:\windows\system32\svchost.exe','');
end.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

[ane4ka]

архив отправила без пароля,дойдет?

 

там ответили вроде вирусни нет,но суть дела не меняет-процесс svchost также не в порядке.

 

ну товарищи,ну что вы все молчите?что делают в таких случаях?неужели такая проблема решается только переустановкой-не верю!

[thyrex]

У Вас для этой службы вместо NT AUTHORITY\SYSTEM идет просто SYSTEM ?

Изменено 25 марта, 2010 пользователем akoK

[ane4ka]

нет,строка вообще пустая ,стоит пометка в кружочке :с системной учетной записью-и то подсвечена неактивно,единственно что я могу-добавить или удалить галочку:взаимодейсвовать с рабочим столом.

[snifer67]

ane4ka,Обновления на систему ставите ?

Изменено 25 марта, 2010 пользователем akoK

[ane4ka]

да недавно поставила все оптом и опять отключила авт.обновления.Я вот думаю-не Adobe Reader 9/3/1-CPSID_50570 так удружил мне?я недавно скачала его вроде с официального сайта,но когда стала устанавливать было предупреждение что не удается проверить издателя,в итоге я установку всё равно продолжила и Касперский выдал инфу:AdobeARM.exe использование функций системы для скрытой отправки данных по сети-разрешено.Мне всё это ене понравилось и я программу удалила а вскоре после этого заметила что процесс RPC подменен.

[snifer67]

Выполните в AVZ скрипт из файла http://df.ru/~kad/ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

 

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[ane4ka]

ой не знаю!фиксила я как то,потом опять пришлось кое-где проверять всё ли прикрыто:например анонимный доступ,вторичный вход в систему и т.д и т.п Хлопотно это.А вот если я предложенный скрипт выполню-он только информацию соберёт или сбросит все мои настройки по безопасности и т.д на стандартные?

[snifer67]

Хлопотно это.А вот если я предложенный скрипт выполню-он только информацию соберёт или сбросит все мои настройки по безопасности и т.д на стандартные?

Нет.

[ane4ka]

доброго времени суток!

snifer67,всё что вы советовали я выполнила,и скрипт и пофиксила Combofix.жаль но толку мало служба не вернулась в прежнее состояние

[akoK]

AVPTool деинсталируйте.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

[ane4ka]

сделала