Перейти к содержанию
Правила раздела

Заражен svchost.exe

unname123

Автор unname123
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

unname123

unname123

Опубликовано
Опубликовано

Kaspersky выдал сообщение о заражении svchost.exe, но без возможности вылечить.

Прикрепил логи.

Ссылка на GSI: http://www.getsysteminfo.com/read.php?file...103618f0fa7dc40

GetSystemInfo_ALEX_564DC82253_Alex_2010_08_01_17_16_40.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
snifer67

snifer67

Опубликовано
Опубликовано (изменено)

Выполните скрипт в avz(в безопасном режиме).

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\djghxm.exe','');
QuarantineFile('C:\WINDOWS\system32\c1e2c41c.exe','');
QuarantineFile('C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\c1e2c41c.exe');
DeleteFile('C:\WINDOWS\system32\djghxm.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через на newvirus@tut.by

Скачайте RSIT . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено пользователем snifer67
Ссылка на комментарий
Поделиться на другие сайты
snifer67

snifer67

Опубликовано
Опубликовано

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\WINDOWS\system32\172cd7f.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

повторите логи rsit.

Ссылка на комментарий
Поделиться на другие сайты
  • 4 месяца спустя...
oliva

oliva

Опубликовано
Опубликовано

Здравствуйте! А я сегодня стала просматривать настройки антивируса KIS 11.0.2.556 и случайно наткнулась на такую картину (скриншот высылаю). Там процесс svchost.eхe занесен в доверенные программы. Мне это стало подозрительным. Хотя антивирус никаких сообщений об обнаружении вредоносного ПО не показывает при полной проверке. Стоит ли опасаться? Спасибо.

post-10544-1292997530_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Там процесс svchost.eхe занесен в доверенные программы.

это означает, что зашифрованный трафик данной программы не проверяется.

Стоит ли опасаться?

нет. это настройка по умолчанию.

Ссылка на комментарий
Поделиться на другие сайты
Roma1

Roma1

Опубликовано
Опубликовано
это означает, что зашифрованный трафик данной программы не проверяется.

 

нет. это настройка по умолчанию.

А убирать из настройки можно или нет? Что будет если убрать?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

насколько я помню, при включённой опции "проверять зашифрованный трафик" Windows не сможет автоматически получать обновы из Windows Updates

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...