Заражен svchost.exe

[unname123]

Kaspersky выдал сообщение о заражении svchost.exe, но без возможности вылечить.

Прикрепил логи.

Ссылка на GSI: http://www.getsysteminfo.com/read.php?file...103618f0fa7dc40

GetSystemInfo_ALEX_564DC82253_Alex_2010_08_01_17_16_40.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Выполните скрипт в avz(в безопасном режиме).

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\djghxm.exe','');
QuarantineFile('C:\WINDOWS\system32\c1e2c41c.exe','');
QuarantineFile('C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\c1e2c41c.exe');
DeleteFile('C:\WINDOWS\system32\djghxm.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через на newvirus@tut.by

Скачайте RSIT . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено 1 августа, 2010 пользователем snifer67

[thyrex]

И новые логи в обычном режиме сделать не забудьте

[unname123]

Новые логи.

info.txt

log.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 1 августа, 2010 пользователем unname123

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\WINDOWS\system32\172cd7f.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

повторите логи rsit.

[unname123]

Новые логи RSIT.

info.txt

log.txt

[snifer67]

Чисто.Что с проблемой?

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[thyrex]

C:\Program Files\Common Files\keylog.txt тоже можно удалить.

[akoK]

Не забудьте сменить пароли.

[unname123]

Проблема решена. Спасибо за помощь.

А какие пароли нужно поменять?

[akoK]

Те которые вы считаете важными (почта, банкинг и т.д.)

[oliva]

Здравствуйте! А я сегодня стала просматривать настройки антивируса KIS 11.0.2.556 и случайно наткнулась на такую картину (скриншот высылаю). Там процесс svchost.eхe занесен в доверенные программы. Мне это стало подозрительным. Хотя антивирус никаких сообщений об обнаружении вредоносного ПО не показывает при полной проверке. Стоит ли опасаться? Спасибо.

[Roman_Five]

Там процесс svchost.eхe занесен в доверенные программы.

это означает, что зашифрованный трафик данной программы не проверяется.

Стоит ли опасаться?

нет. это настройка по умолчанию.

[Roma1]

это означает, что зашифрованный трафик данной программы не проверяется.

 

нет. это настройка по умолчанию.

А убирать из настройки можно или нет? Что будет если убрать?

[Roman_Five]

насколько я помню, при включённой опции "проверять зашифрованный трафик" Windows не сможет автоматически получать обновы из Windows Updates